IPsec bez gif tunelu
Dan Lukes
dan at obluda.cz
Wed Apr 27 05:47:39 CEST 2005
Petr Rehor napsal/wrote, On 04/25/05 16:44:
>> > Zaujala me diskuze o IPsecu s vyuzitim gif tunelu a nevim jestli mi
>> > neco neunika. Zajimalo by me, jakou vyhodu to ma proti primemu baleni
>> > paketu do ESP tunelu:
>>
>> V nekterych pripadech se snaze ovlada "co do tunelu leze". Typicky
> jsem ze pri pouziti GIF se tunelovany trafic nejprve zabalí do
> IP-over-IP (RFC2893) a potom jeste jednou do ESP. Tomuhle PIXOS
> nerozumel (nebo to alepon na druhe strane neumeli nakonfigurovat ;-)
"man gif", sekce "BUGS", prvni odstavec ;-)
> Mas pravdu, ze se smerovanim skrz GIF interfejsy vyjde konfigurace
> IPsec jednodussi, staci nakonfigurovat ESP pro IP-over-IP tunely. Na
> druhou stranu to ma vetsi rezii
Rozdil mezi rezii ESP a ESP+IP-IP zapouzdreni mi pripadal nepodstatne
maly.
> a muze dochazet k fragmentaci paketu
> (podle man gif se na vnejsim protokolu IPv4 nuluje DF bit a nedela se
> Path MTU Discovery). Doporuceni pro "spravne" MTU pro GIF pri IPv4 a
> naslednem ESP jsem nikde nenasel. Mas s tim nejake zkusenosti ?
Na GIF interfacech mame nastavenou MTU na 1280B tim PMTU zajisti pro
TCP uz u vnitrnich paketu "prijatelnou" velikost a ani po encapsulaci k
fragmentaci nedochazi. U ostatnich, tedy non-TCP paketu pripadne k
fragmentaci dochazet muze, ale tech, alespon v nasich podminkach, neni
moc (nejake to DNS a routovaci protokol).
MTU musi byt samozrejme nastavena na stejnou velikost na obou stranach.
Dan
More information about the Users-l
mailing list