|
|
|
VPN, IPSEC,Racoon. Как правильнее
|
|||
|---|---|---|---|
|
#18+
Имеем соединение через FREBSD с адресами 1.1.1.1 и 2.2.2.2 внутренних сеток 192.168.1.0 и 192.168.2.0. Какая политика правильнее? 1. когда применяем политику к внутренним сеткам spdadd 192.168.1.0/24 192.168.2.0/24 any -P out ipsec esp/tunnel/1.1.1.1-2.2.2.2/require; spdadd 192.168.2.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/2.2.2.2-1.1.1.1/require; 2.когда применяем к внешним интрефейсам spdadd 1.1.1.1/32 2.2.2.2/32 ipencap -P out ipsec esp/tunnel/1.1.1.1-2.2.2.2/require; spdadd 2.2.2.2/32 1.1.1.1/32 ipencap -P in ipsec esp/tunnel/2.2.2.2-1.1.1.1/require; Если смотреть по tcpdump и там и там задействованы esp-пакеты... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.06.2008, 10:37:56 |
|
||
|
VPN, IPSEC,Racoon. Как правильнее
|
|||
|---|---|---|---|
|
#18+
Имхо, самое главное в ипсек -- это научится выражаться в понятных для окружающих терминах. Или кто-то что-то забыл написать при описании структуры сети или пункт 1 совсем != пункту 2, ну или огромное расхождение в терминологии (вдруг эти загадочные строки кода есть отрывок конфигурвционного файла какой-то загадочной программы, ну или мало что ещё можно придумать). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.06.2008, 02:12:34 |
|
||
|
VPN, IPSEC,Racoon. Как правильнее
|
|||
|---|---|---|---|
|
#18+
1. учитесь говорить по-русски 2. вторая полиси некорректна и для того что бы это понять надо прочитать 1 (один) раз MAN! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.06.2008, 13:18:56 |
|
||
|
VPN, IPSEC,Racoon. Как правильнее
|
|||
|---|---|---|---|
|
#18+
Имеем 2-е сетки: 1. 192.168.1.0/24 с выходом в I-net через FreeBSD7 с внешним адресом 1.1.1.1 и внутренним адресом 192.168.1.1 2. 192.168.2.0/24 с выходом в I-net через FreeBSD7 с внешним адресом 2.2.2.2 и внутренним адресом 192.168.2.1 Пытаемся их обьединить: Собираем ядра с device crypto options IPSEC options IPSEC_DEBUG Ставим ipsec-tools из портов На каждом поднимаем тоннель через gif0 Описываем только для первой сетки, для второй аналогично, меняем только ip: cloned_interfaces="gif0" gifinterface="gif0" gifconfig_gif0="1.1.1.1 2.2.2.2" ifconfig_gif0="inet 192.168.1.1 192.168.2.1 netmask 0xffffffff" static routes="vpn" route_vpn="192.168.2.1 -interface gif0" ipsec_enable="YES" И все это хозяйство работает и когда мы применяем и политику №1 и политику №2 Политика №1 spdadd 192.168.1.0/24 192.168.2.0/24 any -P out ipsec esp/tunnel/1.1.1.1-2.2.2.2/require; spdadd 192.168.2.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/2.2.2.2-1.1.1.1/require; Политика №2 spdadd 1.1.1.1/32 2.2.2.2/32 ipencap -P out ipsec esp/tunnel/1.1.1.1-2.2.2.2/require; spdadd 2.2.2.2/32 1.1.1.1/32 ipencap -P in ipsec esp/tunnel/2.2.2.2-1.1.1.1/require; Согласен, что 2-ая политика не совсем корректна при наличии еще одной сетки для обьединения, но вопрос заключается в другом, применения какой из них более защищает от просмотра. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.06.2008, 13:52:10 |
|
||
|
VPN, IPSEC,Racoon. Как правильнее
|
|||
|---|---|---|---|
|
#18+
что такое "просмотр" -- расшифровка? Так это определяется алгоритмом шифрования и тем как вы устанавливаете phase1 -- psk, rsa? (racoon.conf) другое дело что для обеспечения безопасности сети правильнее первая политика, т.к. она ограничивает сети пакеты из которых будут зашифрованы/расшифрованы, мне честно не верится что вторая работает (поднимать тестовую конфигурацию ломает) что вы имеете ввиду под тем, что она работает, пакет из хоста в одной сети доходит до другого хоста (причем этот хост не ваш гейтвэй)? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.06.2008, 16:37:22 |
|
||
|
VPN, IPSEC,Racoon. Как правильнее
|
|||
|---|---|---|---|
|
#18+
2-ая политика говорит, включать ipsec только в отношении инкапсулированных пакетов. Другими словам, что срабатывает раньше, включается ipsec а потом тоннель или же сначало тоннель, а потом ipsec... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.06.2008, 19:24:33 |
|
||
|
|
start [/forum/topic.php?fid=25&tid=1486774]: |
0ms |
get settings: |
9ms |
get forum list: |
14ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
39ms |
get topic data: |
9ms |
get forum data: |
2ms |
get page messages: |
36ms |
get tp. blocked users: |
1ms |
| others: | 206ms |
| total: | 322ms |
| 0 / 0 |
