Re: ipsec

To: Konstantin Kubatkin <natalikherson@mail.ru>
Cc: Dmitry Rojkov <rojkov@piter.com>, debian-russian@lists.debian.org
Subject: Re: ipsec
From: alexey.vyskubov@nokia.com (Alexey Vyskubov)
Date: Thu, 2 Aug 2001 13:55:23 +0300
Message-id: <20010802135523.C27328@terrapin>
In-reply-to: <_xgLnB.A.s0H.OdSa7@murphy>
References: <_xgLnB.A.s0H.OdSa7@murphy>

> > >  вот в этом и проблема :( а помочь клиенту увидеть правую сеть
> никак?
> > > если вместо ipsec поставить tunnelv то клиент отлично видит правую
> сеть
> > 
> > Думаю, помочь нельзя. Для этого нужен transport mode (причем оба
> общающихся хоста должны поддерживать transport mode), который в freeswan
> не реализован. Там вроде как только tunnel mode.

Чего-чего? *Какой транспорт моуд*?! Transport mode может использоваться
только в одном случае: host1 разговаривает с host2. И они заворачивают
трафик в IPsec. Как только появляется Security Gateway (система, которая
разворачивает IPsec и отправляет пакет дальше) -- *только* туннель!

Или я чего не понял? (Начало обсуждения, как я написал, я не видел)

> > Я в этой ситуации использую vtun: он работает на уровне tcp, а не ip.

IPsec не работает на уровне IP. IPsec в IPv4 вообще представляет собой
грязный хак и работает непонятно на каком уровне :) Поэтому все
реализации такие кривые.

> у меня с vtun тоже не все получилось. я посторил тунель на ethertap и
> вот што получилось - когда даю пинг на другую сторону тунеля первые 2-3
> пакета стабильно теряются :( пришлось от него отказаться, хотя он всем
> устраивал

Если нужен просто туннель соединить две сетки, я бы завернул ppp в ssh и
не мучился :)

> > можно почитать rfc2401, а потом поискать ipsec, где этот rfc наиболее
> полно реализован.

Проблема не только в соответствии реализации RFC (а как, кстати, вы
собираетесь ее проверять? Читать исходный текст? Кто-нибудь пробовал
читать исходный текст freeswan? Я пробовал и могу сказать, что я не буду
никогда использовать -- *особенно* в том, что касается security --
продукт с *таким* исходным текстом. Hint: попробуйте посмотреть в
radij.c или как он там называется. На предмет t, tt и ttt :) )

Основная проблема заключается в том, что Security Gateway должен еще
как-то взаимодействовать с firewall. RFC на эту тему вообще ничего не
говорит. Если у вас весь трафик должен быть завернут в IPsec, это не
проблема. А вот если есть и обычный трафик, который фильтруется...
Причем не так, как трафик, который был завернут в IPsec...

Кстати, о freeswan. 1. Отключать rp_filter -- идиотская идея. Если софт
без этого не работает -- выкинуть софт. 2. Я проводил следующий
эксперимент месяца три назад: на ping-запросы, отправленные с компьютера
с freeswan, и завернутые в IPsec, отвечал plain IP. (Естественно, для
этого потребовалось похачить ядро на второй машине). Так вот, все
работало. Софт, который себя так ведет по умолчанию -- дрянь.

-- 
Алексей

Reply to:

Prev by Date: Re: ipsec
Next by Date: Re: mc -> syntax files ...
Previous by thread: Re: ipsec
Next by thread: Re: ipsec
Index(es):
- Date
- Thread