IPsec bez gif tunelu

Petr Rehor prehor at gmail.com
Mon Apr 25 16:44:37 CEST 2005


On 4/21/05, Dan Lukes <dan at obluda.cz> wrote:
> Petr Rehor wrote:
> > Zaujala me diskuze o IPsecu s vyuzitim gif tunelu a nevim jestli mi
> > neco neunika. Zajimalo by me, jakou vyhodu to ma proti primemu baleni
> > paketu do ESP tunelu:
> 
> V nekterych pripadech se snaze ovlada "co do tunelu leze". Typicky
> pripad je propojeni nekolika pobocek pri pouziti dynamickeho routingu -
> ten mi nastavi routovaci tabulky a do IPSEC tunelu leze proste ten
> traffic, ktery ma - a kdyz nekde na nejake pobocce pridam dalsi rozsah
> adres, nemusim prekonfigurovavat (krome nahozeni dalsiho rozsahu adres
> na prislusnem interfacu one pobocky) nic jineho. Na urovni IPSECu se o
> rekonfiguraci vubec nestaram. Bez GIFu bych musel upravovat IPSEC
> pravidla rucne.

Predne - diky za odpoved.

Ja jsem k tomuhle reseni dosel protoze pri mem prvnim setkani s
IPsecem byl na druhe strane Cisco PIX s obstaroznim PIXOSem. Zjistil
jsem ze pri pouziti GIF se tunelovany trafic nejprve zabalí do
IP-over-IP (RFC2893) a potom jeste jednou do ESP. Tomuhle PIXOS
nerozumel (nebo to alepon na druhe strane neumeli nakonfigurovat ;-)

Mas pravdu, ze se smerovanim skrz GIF interfejsy vyjde konfigurace
IPsec jednodussi, staci nakonfigurovat ESP pro IP-over-IP tunely. Na
druhou stranu to ma vetsi rezii a muze dochazet k fragmentaci paketu
(podle man gif se na vnejsim protokolu IPv4 nuluje DF bit a nedela se
Path MTU Discovery). Doporuceni pro "spravne" MTU pro GIF pri IPv4 a
naslednem ESP jsem nikde nenasel. Mas s tim nejake zkusenosti ?

> Snaze se ladi nektere problemy (tcpdump dokaze dumpovat pakety z GIFn,
> donutit ho, aby dumpoval ty pakety, ktere odpovidaji nekteremu
> konkretnimu IPSEC pravidlu je preci jen slozitejsi - navic - pokud je
> problem prave v zapisu onoho pravidla, je mozne, ze to ani neodhalim).

Pravda, absence interfejsu pri ladeni mi dost chybela.

P.




More information about the Users-l mailing list