Frozen Fido : RU.UNIX.BSD : Re: ipsec

ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Dmitry Pryanishnikov                 2:464/36       18 Oct 2006  15:04:25
 To : Ilya Kulagin
 Subject : Re: ipsec
 --------------------------------------------------------------------------------

 
 Привет!
 
 On Wed, 18 Oct 2006, Ilya Kulagin wrote:
 
 > VK> эти буквы я знаю. но интересует меня конкретно FreeBSD-шный механизм,
 > VK> позволяющий racoon-у достучаться до destination без ключей, когда весь
 > VK> остальной софт это сделать не может
 >
 > Кхм. Есть туннель. В него настроен какой-то раутинг и отправляются ip-пакеты.
 > Hо пока нет ключей, нету и туннеля. Сперва ключи, потом туннель. Поэтому до
 > обмена ключами "весь остальной софт" спокойно отдыхает. Или не очень спокойно,
 > но всё равно.
 >
 > Поскольку обмен ключами нужно сделать до подъёма туннеля, то обмен идёт не по
 > туннелю (т.е. не через ipsec|gif|esp назовите как хотите), а отдельно.
 > Отдельными пакетами по стандартному udp, через стандартный раутинг и
 > физическую сетевую карту.
 
     В том то и дело, что тут вопрос наподобие "курица vs. яйцо". Если SPD
 приказывает (require) любой трафик (any) между 2мя точка заворачивать
 в туннель, _и_ IKE daemon (тот же racoon) попытается _между этими же_
 IP согласовать ключи, то его попытки будут зарублены этим самым require:
 запись SPD анализируется _до_ роутинга и ipfw, и не пропустит нешифрованный 
 трафик, а пока она его не пропустит, и шифрованного быть не может ;)
 
     Побороть можно, только добившись (любым способом: использованием 
 IP-алиасов, туннелей и др., и пр.), чтобы IKE-согласование (isakmp, UDP/500) 
 не попадало под SPD. Тут пример транспортного режима, действительно, возможен 
 такой "клинч", в туннельном обычно SPD не мешает IKE-обмену:
 
    spdadd src_range dst_range upperspec policy ;
 
 где policy:
 
    protocol/mode/src-dst/level
 
 src_range и dst_range при mode=tunnel - обычно адреса транзитных сетей
 (например, 2 корпоративные локалки), а src-dst в policy - адреса концов 
 туннеля (обычно интерфейсные адреса на линке или алиасы).
 
 Sincerely, Dmitry
 -- 
 Atlantis ISP, System Administrator
 e-mail:  dmitry@atlantis.dp.ua
 nic-hdl: LYNX-RIPE
 --- ifmail v.2.14.os-p7
  * Origin: Atlantis ISP (2:464/36@fidonet)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
ipsec	Ilya Kulagin	18 Oct 2006 15:15:01
Re: ipsec	Dmitry Pryanishnikov	18 Oct 2006 15:04:25
ipsec	Yuri PQ	19 Oct 2006 13:09:36

Архивное /ru.unix.bsd/245219e502c46.html, оценка 2 из 5, голосов 10