IPsec, FreesWan a Masquerade

[Zdenek Kaminski]

> > 
> >  A tady spekulace nejhrubsiho zrna: Jak se tady jadro 
> > rozhodne, kterou adresu pouzije pro maskaradovani? No nevim, 
> > ale kdyz jsem provedl vyse uvedene dva ip route.. prikazy, 
> > tak se rozhodl pro svou vnitrni ip adresu. Tohle by mi mohl 
> > nekdo osvetlit, pac zdrojaky cist nebudu. Verim, ze kdyz bych 
> > misto MASQUERADE pouzil SNAT a tam napsal, jakou ze adresu to 
> > ma pouzit, tak nespekuluji a vyse uvedene prikazy ip route by 
> > mozna byly zbytecne. Zase, jestli mohu SNATovat na cokoliv, 
> > na co se mi zachce, je druha otazka...
> 
> IMHO mozte, ale co na to vasa GW ? Takze vysledok je ...
>  

Hmm, z GW by problem byt nemel, rekl bych, ze ji prijde paket z jednoho
interface a ona ho preroutuje do druheho interface. Otazka je, zda by mi
pak takovy paket dosel zpatky, ze ano...

> > No a pote co ma jadro paket upraveny maskaradou, tak v 
> > routovaci tabulce zjisti, ze to ma jit do ipsec0 a tak ho tam 
> > posle. A pak to prevezme ipsec a zjisti, ze to je paket jako 
> > delany do jeho definovaneho tunelu, protoze ma spravnou src a 
> > dst ip adresu a tak ho "tam" taky posle.
> 
> Pokial viem SNAT sa vykona az po dokonceni routovania.

Ano, tady jsem se spatne vyjadril. Tohle samozrejme vim :-)
Mel jsem napsat, pote co jadro vi, kam to pujde podle routovaci tabulky,
tak to zamaskaraduje (a tu se domnivam, ze prave podle routovaci
tabulky, pac pouzivam MASQUERADE, nikoliv SNAT) a vypusti..

> 
> > No a na stroji _right_ prijde ESP paket, vezme si ho na 
> > starost ipsec, zjisti, ze to je to prave orechove a pak uz to 
> > jadro podle routovaci tabulky posila do te vnitrni site, kam 
> > to melo dojit... </HRUBA SPEKULACE>
> > 


---------------------------------------------------------------------------
Bc. Zdenek Kaminski <xkaminsk at fi.muni.cz>

homepage: http://www.fi.muni.cz/~xkaminsk/
IPv6 router homepage: http://merlot.ics.muni.cz/