IPSEC - prechod z ISA serveru
Dan Lukes
dan at obluda.cz
Mon Apr 20 12:31:00 CEST 2009
On 20.4.2009 10:28, Josef Hrabec:
> Pri spusteni racoon-u lze pozorovat, jak z pocatku "nedela nic" a teprve ve
> chvili, kdy se ze stroje za timto routerem posle echo paket na druhou stranu
> zacne na externim rozhrani provoz nejprve ike paketu, ktere posleze nahradi
> provoz jiz pouze esp paketu.
To je skutecne v poradku. IPSEC je "connection-less" tunel. Neni zadne
"sestavovani tunelu". Bylo by to dobre videt pri staticke konfiguraci
klicu an obou stranach - kazdemu "protlacovanemu" paketu by odpovidal
1:1 jeden ESP paket - zadne sluzebni pakety.
Pokud klice staticky nakonfigurovane nejsou, funguje to takto:
Kdyz ma IPSEC odeslat paket tunelem a nema aktualn eplatn eklice, tak si
o ne rekne nekomu.
Ten "nekomu" je v tomto pripade IKE - a je to on, kdo zahaji (na celem
IPSECu zcela nezavislou) komunikaci s nekym, s kym se nejak dohodnou a
vysledkem jsou klice, ktere on IPSECu dolu poda.
Takze dokud se neposila zadny paket tak IPSEC nepotrebuje klice a kdyz
nepotrebuje klice, tak si o ne nerekne, a kdyz si o ne nerekne, tak IKE
zadne neshani.
Tolik vysvetleni, proc se neco zacne dit az kdyz posles ping/echo.
Skoda jen, ze nerikas, jestli ten ping taky dopadne uspesne prijatou
odpovedi.
A celkove mi nejak uniklo, co presne ti vlastne nefunguje (pokud ten
ping prochazi).
> Dale jsem zkusil do jadra pridat podporu enc:
> device enc
Abych rekl pravdu, IPSECu jsem nikdy neprisel moc na chut' mj. prave
proto, ze na jednu stranu sice chova jako tunel (tedy, v konfiguraci
"bud' tunel"), ale z pohledu OS neni konec tunelou obvyklym interface.
Misto toho IPSEC pakety "krade" pri jejich zpracovani v jadre. Coz
podstatne komplikuje sledovani "co se deje". "enc" z meho pohledu prisel
jednak pozde, jednak ej jen takovou divnou naplasti - neni to endpoint
konkretniho tunelu, je to spis servisni pseudointerface, kde maji byt
zamichane vsechny IPSEC pakety dohromady. A i kdybych vzal "enc" na
milost, stejne to neresi jiny problem - tim, ze IPSEC-tunel neni
normalni (byt' virtualni) spoj, nelze do nej smerovat [pakety pomoci
zaznamu v routovaci tabulce - a co je maly problem u statickych zaznamu
(ty proste staticky zapisu jinam, do konfigurace toho IPSEC tunelu), to
je velky problem v pripade dynamickych routovacich daemonu, ktere mi na
nejake IPSEC kaslou a routovat do jednotlivych IPSEC tunelu takhle nejde.
Takze, kdyz uz jsem nahodou nekde donucen IPSEC pouzivat (jako, ze se
tomu vyhybam) tak zasadne v konfiguraci IP over IP-IP (tj. GIF) over
IPSEC/ESP
Je to sice tunel v tunelu, ztracene ctyri byte navic, ale ladeni potizi
je radove snazsi. Samozrejme, na druhe strane musi byt odpovidajici
konfigurace, takze jestli ty mas na druhe strane Woknows, tak smula ...
Kazdopadne, budes muset rict, co ti teda vlastne nefunguje jinak rozumne
postrceni necekej ;-)
Dan
More information about the Users-l
mailing list