handbook/ipsec

From

Slawa Olhovchenkov (2:5030/500)

To

Sergey Mikhnenkov

Date

2005-06-02T14:05:44Z

Area

RU.UNIX.BSD

Hello Sergey!

02 Jun 05, Sergey Mikhnenkov writes to Slawa Olhovchenkov:

 SM>>> Например, я чисто экспериментально вышел на то, что
 SM>>> transport+ipencap = tunnel :-) Т.е. железки работающие в
 SM>>> тунельном режиме прекрасно понимают мою фрю в транспортном
 SM>>> режиме.
 SO>> Да, такой хак возможен, но я не уверен что про него хорошо писать и
 SO>> что он всегда будет работать.
 SM> У меня все варианты заработали. Пробовал с dlink, planet и zyxell. В данный
 SM> момент постоянно работает dlink и planet.

Как ты понимаешь, это все равно не аргумент :)

 SM>>> Ну и не мешало бы рассказать про туннельный режим, про его плюсы
 SM>>> и минусы,
 SO>> Про минусы я уже сказал, плюсов в случае FreeBSD мне не известно.
 SM> Меньше сущностей. Типа гифов. Может еще что...

Меньше -- не значит лучше и проще. Вон, в солярисе одна сущность -- стримы. Что, от этого лучше? Когда на стримах т гетти пасутся.

 SM>>> про гемор с файерволом и противоречие этого режима и
 SM>>> антиспуфинговых правил файервола...
 SO>> Разверни мысль.

 SM> Если я правильно помню, эти правила не пропустят esp пакеты в тунельном
 SM> режиме... Хотя могу ошибаться, у меня файервол сложнее, может не на них я
 SM> спотыкался, разбираться детально тогда было некогда. Если не сложно -
 SM> проверь, у меня стенда щас нет :-(

А если лом сунуть в блок питания -- вообще все накроется. Про добавление правли в начала списка для мебели написанно? Или ты про что-то иное говоришь?

 SM>>> В общем есть что рассказать еще, если хочется сделать полноценную
 SM>>> доку, чтобы не надо было искать умные мысли по гуглам, для
 SM>>> решения проблем :-)

 SO>> Насколько я понимаю, хэндбук -- дока для начинающих, а вовсе не
 SO>> серьезная литература для специалистов. Поэтому не надо в нее пихать
 SO>> слишком сложные вещи.
 SM> Как минимум, еще туда надо добавить про отличие ipencap и any режимов
 SM> шифрации трафика при статических ключах. Это точно надо.

а?

... Гоpе ты мое аутлуковое!
--- GoldED+/BSD 1.1.5
 * Origin:  (2:5030/500)
SEEN-BY: 46/50 50/203 400/814 450/186 247 1024 451/30 550/196 4635/4 4652/15
SEEN-BY: 5000/5000 5011/13 5015/10 5019/31 5020/52 154 175 400 545 549 715 758
SEEN-BY: 5020/830 937 1523 1604 1630 2020 2142 2238 2450 2590 4441 5021/29
SEEN-BY: 5022/128 5025/3 750 5027/16 5029/32 5030/49 115 473 500 556 966 1063
SEEN-BY: 5030/1900 5031/70 72 5035/38 5036/34 5042/13 5049/50 97 5054/1 4 8 9
SEEN-BY: 5054/28 35 36 37 63 66 67 70 75 81 84 85 5055/95 5061/120 5062/1 10
SEEN-BY: 5063/3 5067/2 5069/7 5070/1222 5079/23 5080/80 1003 5082/6 5083/21
SEEN-BY: 5085/13 5090/108 5095/20 5096/18 6000/12 254 6001/10

PATH: 5030/500 5020/4441 545 5054/1 37