IPsec, FreesWan a Masquerade

Zdenek Kaminski xkaminsk na fi.muni.cz
Středa Červen 5 16:32:25 CEST 2002 

On Wed, 5 Jun 2002, Ing. Pavel PaJaSoft Janousek wrote:

> Michal Nosek wrote:
> > Zacina mi to pripadat jako nocni mura, ted zrovna vubec netusim co napsat
> > do _updown, protoze jsem zjistil, ze SuSE pouziva iptables. Jinak ping
> > skousim tak i tak i z jedny site do druhy a nic.
> 
> 	Kdyz uz jsme u tech siti, pokud chcete pres IPsec videt i koncove body,
> potrebujete (mozna jde reseni optimalizovat) 3 (!!!) tunely:
> 
> 1. lokalni sit A <-> lokalni sit B
> 2. lokalni sit A <-> koncova IP B
> 3. koncova IP A <-> lokalni sit B
> 
> 	Abyste se nedivil - bezne se totiz dela pouze tunel ad 1) a jeho
> funcknost nelze z routeru (koncovych bodu) overovat ping-em...!!!

no, prave ze bod 2 a 3 lze obejit tim mym predchozim prispevkem, (na coz
jsem prisel tak, ze kdyz jsem se dival, co tam chodi za pakety, tak se mi
nelibila ta zdrojova adresa, avsak prikaz
ping -n libovolna_adresa_v_lokalni_siti_A_ -I _muj_vnejsi_interface \
_ma_adresa_v_lokalni_siti_B_ mi samozrejme jel...)

Pak mohou zabezpecene komunikovat i stroje A a B, avsak jen s pouzitim
adres z lokalnich siti :-) Coz je postacujici a obvykle i zadouci. A
hlavne v ipsec.conf ubudou dve definice, coz jej jenom zprehledni :-)))
No, ale doslova ty body obejit nemuzu, to je mi jasne :-)

> PS: Obecne vsak upozornuji, ze IPsec musi jit mimo maskaradu!

Pokud to nebude v elaboratu  :-), muzete prosim napsat, ve kterych
pripadech nelze maskaradu pouzit? Teda ja si to na jejich webu necetl,
protoze mi zatim vse (asi haluzove) fungovalo; a to maskaraduji jak
vztekly...

> 
> PPS: Vzhledem k stale se mnozicim nejasnostem, zavazuji se v dohledne
> dobe sepsat nejaky elaborat na podobne tema, ktery snad komunita prijme,
> pripadne orpavi nedostatky... (snad to nekdo oceni)

Jo jo, "dokumentace" a elaboratu neni nikdy dost.

Hezky den.

---------------------------------------------------------------------------
Bc. Zdenek Kaminski <xkaminsk at fi.muni.cz>

homepage: http://www.fi.muni.cz/~xkaminsk/
IPv6 router homepage: http://merlot.ics.muni.cz/

Další informace o konferenci Linux