IPsec bez gif tunelu

Dan Lukes dan at obluda.cz
Thu Apr 21 02:51:50 CEST 2005


Petr Rehor wrote:
> Zaujala me diskuze o IPsecu s vyuzitim gif tunelu a nevim jestli mi
> neco neunika. Zajimalo by me, jakou vyhodu to ma proti primemu baleni
> paketu do ESP tunelu:

	V nekterych pripadech se snaze ovlada "co do tunelu leze". Typicky 
pripad je propojeni nekolika pobocek pri pouziti dynamickeho routingu - 
ten mi nastavi routovaci tabulky a do IPSEC tunelu leze proste ten 
traffic, ktery ma - a kdyz nekde na nejake pobocce pridam dalsi rozsah 
adres, nemusim prekonfigurovavat (krome nahozeni dalsiho rozsahu adres 
na prislusnem interfacu one pobocky) nic jineho. Na urovni IPSECu se o 
rekonfiguraci vubec nestaram. Bez GIFu bych musel upravovat IPSEC 
pravidla rucne.


	Snaze se ladi nektere problemy (tcpdump dokaze dumpovat pakety z GIFn, 
donutit ho, aby dumpoval ty pakety, ktere odpovidaji nekteremu 
konkretnimu IPSEC pravidlu je preci jen slozitejsi - navic - pokud je 
problem prave v zapisu onoho pravidla, je mozne, ze to ani neodhalim).

	V nekterych dalsich pripadech je to proste otazka zvyku. Ja, i kdyz 
nepouzivam dynamicky routing, radeji do konfigurace IPSEC/RACOON nesaham 
- a co tunelem prochazi nastavuji bud' routovaci tabulkou nebo pomoci 
ipfw fwd. Z meho pohledu je to proste jednodussi a vysledna konfigurace 
celeho stroje pruzracnejsi. Mam dojem, ze cas, ktery jsem "ztratil" 
"zbytecnym" krokem navic pri prvotni konfigurace se mi bohate vrati v 
usporach casu pri udrzbe a hledani problemu.

	Your mileage may vary.

					Dan



More information about the Users-l mailing list