Re: ipsec
Hi Konstantin Kubatkin!
On Thu, Aug 02, 2001 you wrote:
> > Думаю, помочь нельзя. Для этого нужен transport mode (причем оба общающихся хоста должны поддерживать transport mode), который в freeswan не реализован. Там вроде как только tunnel mode.
>
> в манах написанно что может:
>
> type
> the type of the connection; currently the accepted values are
> tunnel (the default) signifying a host-to-host,
> host-to-subnet, or subnet-to-subnet tunnel; transport, signifying
> host-to-host transport mode; and passthrough
> (supported only for manual keying), signifying that no IPsec
> processing should be done at all
Так. Кажется, я ввел в заблуждение по поводу обязательности transport mode.
Согласно rfc transport mode is allowed, but not required для случая host-to-host:)
Но для этого случая нужен дополнительный Security Association, еще один раздел
conn в конфиге, где бы шлюз фигурировал уже не как шлюз, а как хост.
В документации по freeswan должен быть пример такой конфигурации (если не
ошибаюсь, пример называется road warrior)
Шлюз занимается только передачей "transiting" трафика.
> > Я в этой ситуации использую vtun: он работает на уровне tcp, а не ip.
>
> у меня с vtun тоже не все получилось. я посторил тунель на ethertap и
> вот што получилось - когда даю пинг на другую сторону тунеля первые 2-3
> пакета стабильно теряются :( пришлось от него отказаться, хотя он всем
> устраивал
а если выбрать тип туннеля не ether, а tun?
Reply to:
- References:
- Re: ipsec
- From: alexey.vyskubov@nokia.com (Alexey Vyskubov)
- Re: ipsec
- From: Konstantin Kubatkin <cat@3logic.net>
- Re: ipsec
- From: Dmitry Rojkov <rojkov@piter.com>
- Re: ipsec
- From: Konstantin Kubatkin <cat@3logic.net>
- Re: ipsec
- From: Dmitry Rojkov <rojkov@piter.com>
- Re: ipsec
- From: Konstantin Kubatkin <natalikherson@mail.ru>