IPsec bez gif tunelu

Dan Lukes dan at obluda.cz
Wed Apr 27 05:47:39 CEST 2005


Petr Rehor napsal/wrote, On 04/25/05 16:44:
>> > Zaujala me diskuze o IPsecu s vyuzitim gif tunelu a nevim jestli mi
>> > neco neunika. Zajimalo by me, jakou vyhodu to ma proti primemu baleni
>> > paketu do ESP tunelu:
>> 
>> V nekterych pripadech se snaze ovlada "co do tunelu leze". Typicky

> jsem ze pri pouziti GIF se tunelovany trafic nejprve zabalí do
> IP-over-IP (RFC2893) a potom jeste jednou do ESP. Tomuhle PIXOS
> nerozumel (nebo to alepon na druhe strane neumeli nakonfigurovat ;-)

	"man gif", sekce "BUGS", prvni odstavec ;-)

> Mas pravdu, ze se smerovanim skrz GIF interfejsy vyjde konfigurace
> IPsec jednodussi, staci nakonfigurovat ESP pro IP-over-IP tunely. Na
> druhou stranu to ma vetsi rezii 

	Rozdil mezi rezii ESP a ESP+IP-IP zapouzdreni mi pripadal nepodstatne 
maly.

> a muze dochazet k fragmentaci paketu
> (podle man gif se na vnejsim protokolu IPv4 nuluje DF bit a nedela se
> Path MTU Discovery). Doporuceni pro "spravne" MTU pro GIF pri IPv4 a
> naslednem ESP jsem nikde nenasel. Mas s tim nejake zkusenosti ?

	Na GIF interfacech mame nastavenou MTU na 1280B tim PMTU zajisti pro 
TCP uz u vnitrnich paketu "prijatelnou" velikost a ani po encapsulaci k 
fragmentaci nedochazi. U ostatnich, tedy non-TCP paketu pripadne k 
fragmentaci dochazet muze, ale tech, alespon v nasich podminkach, neni 
moc (nejake to DNS a routovaci protokol).

	MTU musi byt samozrejme nastavena na stejnou velikost na obou stranach.
						Dan






More information about the Users-l mailing list