ipsec na 2.6.3 a iptables
Michal Kubecek
mike na mk-sys.cz
Středa Březen 17 00:22:37 CET 2004
On Tue, Mar 16, 2004 at 11:48:58PM +0100, Zdenek Prchal wrote:
> > Aha, sorry, nepostrehl jsem, ze se jedna o provoz z tunelu. Nicmene, kdyz
> > si povesim LOG target na vstupni interface do INPUTu, tak to vypada, ze
> > chyta oboje (nejdriv z nej vypadne ESP paket a pak znovu jiz dekryptovany
> > paket - 195.47.92.87 je lokalni konec tunelu):
> >
> Jeste pro doplneni - nemam tu ted sice zacatek tehle debaty, ale matne si
> vzpominam, ze jste tusim zminoval, ze komunikaci mezi koncovymi body tunelu
> mate jako typ transport - ja, na rozdil od vas to mam jako tunel (prestoze
> je to zbytecne), ale pak se kupodivu zrejme netfilter chova jinak ...
Aha, to by mohl být ten podstatný rozdíl. Takže by mohlo pomoci nastavit
i VPN mezi dvěma rozhraními jako tunnel mode. To mne nenapadlo vyzkoušet,
nějak jsem si zafixoval, že tunnel mode je jen pro případ, že potřebuji
routovat celý subnet, a trik s tím, že subnet může obsahovat i jedinou
adresu, mne nenapadl.
Michal Kubeček
Další informace o konferenci Linux