IPsec bez gif tunelu
Dan Lukes
dan at obluda.cz
Thu Apr 21 02:51:50 CEST 2005
Petr Rehor wrote:
> Zaujala me diskuze o IPsecu s vyuzitim gif tunelu a nevim jestli mi
> neco neunika. Zajimalo by me, jakou vyhodu to ma proti primemu baleni
> paketu do ESP tunelu:
V nekterych pripadech se snaze ovlada "co do tunelu leze". Typicky
pripad je propojeni nekolika pobocek pri pouziti dynamickeho routingu -
ten mi nastavi routovaci tabulky a do IPSEC tunelu leze proste ten
traffic, ktery ma - a kdyz nekde na nejake pobocce pridam dalsi rozsah
adres, nemusim prekonfigurovavat (krome nahozeni dalsiho rozsahu adres
na prislusnem interfacu one pobocky) nic jineho. Na urovni IPSECu se o
rekonfiguraci vubec nestaram. Bez GIFu bych musel upravovat IPSEC
pravidla rucne.
Snaze se ladi nektere problemy (tcpdump dokaze dumpovat pakety z GIFn,
donutit ho, aby dumpoval ty pakety, ktere odpovidaji nekteremu
konkretnimu IPSEC pravidlu je preci jen slozitejsi - navic - pokud je
problem prave v zapisu onoho pravidla, je mozne, ze to ani neodhalim).
V nekterych dalsich pripadech je to proste otazka zvyku. Ja, i kdyz
nepouzivam dynamicky routing, radeji do konfigurace IPSEC/RACOON nesaham
- a co tunelem prochazi nastavuji bud' routovaci tabulkou nebo pomoci
ipfw fwd. Z meho pohledu je to proste jednodussi a vysledna konfigurace
celeho stroje pruzracnejsi. Mam dojem, ze cas, ktery jsem "ztratil"
"zbytecnym" krokem navic pri prvotni konfigurace se mi bohate vrati v
usporach casu pri udrzbe a hledani problemu.
Your mileage may vary.
Dan
More information about the Users-l
mailing list