Danail Petrov wrote:
> Здрасти,
> никога не съм конфигурирал IPSec на линукс машини , но ето моето мнение.
> Според мен грешката е вярна :)
> До колкото разбирам , искаш да изградиш ESP тунел между 2 машини
> посредством ISAKMP/IKE (или както там се казва).
Правилно си разбрал. :)
> Няколко основни фази , който протичат в изграждането на една ipsec
> свързаност:
>
> 1. *организиране на интересен трафик*
> 2. IKE Фаза 1 (dh key exchange)
> 3. IKE Фаза 2 (остановяване на така наречените SA за вход/изход)
> 4. Изграждане на криптиран канал за пренос
>
> или накратко казано , за да работи криптото , трябва да си определил
> интересния трафик който да бъде криптиран. Което ще рече че при теб
> ситуацията е работеща , след като имаш пинг от 192.168.1.1 (който ти
> влиза в интересния трафик) до дестинация 10.0.0.89. Всичко останало
> което НЕ си описал като интересен трафик за криптото , няма да ти се
> криптира , съответно и няма да премине през ЕСП тунела (освен ако не си
> оказал изрично че искаш трафика който не е интересен да минава през
> тунела БЕЗ да се криптира) Както се вижда по-долу , IKE-то успешно е
> изградило SA's и би трябвало всичко да е наред.
И по моите наблюдения SA's се изграждат нормално. Това, което се чудя
е защо трафика от машини от 192.168.1/24 не се счита за "интересен". :)
Ако не се лъжа, това се определя от SP's, а мисля че са те са ок:
------------
# ipsecctl -vs flow
flow esp in from 10.0.0.0/16 to 192.168.1.0/24 peer P.Q.R.S
srcid W.X.Y.Z/32
dstid 10.0.0.89/32
type use
flow esp out from 192.168.1.0/24 to 10.0.0.0/16 peer P.Q.R.S
srcid W.X.Y.Z/32
dstid 10.0.0.89/32
type require
------------
Поздрави,
--
Александър Илиев
