IPSEC - prechod z ISA serveru

Dan Lukes dan at obluda.cz
Mon Apr 20 12:31:00 CEST 2009


On 20.4.2009 10:28, Josef Hrabec:
> Pri spusteni racoon-u lze pozorovat, jak z pocatku "nedela nic" a teprve ve
> chvili, kdy se ze stroje za timto routerem posle echo paket na druhou stranu
> zacne na externim rozhrani provoz nejprve ike paketu, ktere posleze nahradi
> provoz jiz pouze esp paketu.

To je skutecne v poradku. IPSEC je "connection-less" tunel. Neni zadne 
"sestavovani tunelu". Bylo by to dobre videt pri staticke konfiguraci 
klicu an obou stranach - kazdemu "protlacovanemu" paketu by odpovidal 
1:1 jeden ESP paket - zadne sluzebni pakety.

Pokud klice staticky nakonfigurovane nejsou, funguje to takto:

Kdyz ma IPSEC odeslat paket tunelem a nema aktualn eplatn eklice, tak si 
o ne rekne nekomu.

Ten "nekomu" je v tomto pripade IKE - a je to on, kdo zahaji (na celem 
IPSECu zcela nezavislou) komunikaci s nekym, s kym se nejak dohodnou a 
vysledkem jsou klice, ktere on IPSECu dolu poda.

Takze dokud se neposila zadny paket tak IPSEC nepotrebuje klice a kdyz 
nepotrebuje klice, tak si o ne nerekne, a kdyz si o ne nerekne, tak IKE 
zadne neshani.

Tolik vysvetleni, proc se neco zacne dit az kdyz posles ping/echo.

Skoda jen, ze nerikas, jestli ten ping taky dopadne uspesne prijatou 
odpovedi.

A celkove mi nejak uniklo, co presne ti vlastne nefunguje (pokud ten 
ping prochazi).

> Dale jsem zkusil do jadra pridat podporu enc:
>      device enc

Abych rekl pravdu, IPSECu jsem nikdy neprisel moc na chut' mj. prave 
proto, ze na jednu stranu sice chova jako tunel (tedy, v konfiguraci 
"bud' tunel"), ale z pohledu OS neni konec tunelou obvyklym interface. 
Misto toho IPSEC pakety "krade" pri jejich zpracovani v jadre. Coz 
podstatne komplikuje sledovani "co se deje". "enc" z meho pohledu prisel 
jednak pozde, jednak ej jen takovou divnou naplasti - neni to endpoint 
konkretniho tunelu, je to spis servisni pseudointerface, kde maji byt 
zamichane vsechny IPSEC pakety dohromady. A i kdybych vzal "enc" na 
milost, stejne to neresi jiny problem - tim, ze IPSEC-tunel neni 
normalni (byt' virtualni) spoj, nelze do nej smerovat [pakety pomoci 
zaznamu v routovaci tabulce - a co je maly problem u statickych zaznamu 
(ty proste staticky zapisu jinam, do konfigurace toho IPSEC tunelu), to 
je velky problem v pripade dynamickych routovacich daemonu, ktere mi na 
nejake IPSEC kaslou a routovat do jednotlivych IPSEC tunelu takhle nejde.

Takze, kdyz uz jsem nahodou nekde donucen IPSEC pouzivat (jako, ze se 
tomu vyhybam) tak zasadne v konfiguraci IP over IP-IP (tj. GIF) over 
IPSEC/ESP

Je to sice tunel v tunelu, ztracene ctyri byte navic, ale ladeni potizi 
je radove snazsi. Samozrejme, na druhe strane musi byt odpovidajici 
konfigurace, takze jestli ty mas na druhe strane Woknows, tak smula ...

Kazdopadne, budes muset rict, co ti teda vlastne nefunguje jinak rozumne 
postrceni necekej ;-)

						Dan



More information about the Users-l mailing list