BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 2 ] 
Автор Сообщение
 Заголовок сообщения: IPSec - разница между tunnel и transport modes
СообщениеДобавлено: Вс 30 июл, 2006 5:35 pm 
Не в сети

Зарегистрирован: Сб 13 май, 2006 11:08 am
Сообщения: 9
Вопрос к специалистам по IPSec.
Я успешно настроил VPN соединение между 2 сетями, как описано во FreeBSD Handbook. Но вот чего я так и не понял, так это разница между tunnel и transport mode в IPSec. В чем разница между правилами spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require и spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec esp/transport/A.B.C.D-W.X.Y.Z/require (где A.B.C.D и W.X.Y.Z - внешние IP шлюзов) ? Я пробовал и то и другое - работает одинаково.
Да в документации написано, что когда мы указываем tunnel, то это значит что пакет целиком пройдет дальнейшую инкапсуляцию в IPSec пакет. Но зачем его еще раз инкапсулировать, если он уже инкапсулирован при помощи gif интерфейса (для передачи через Интернет и таким образом организации тунеля) ?
Всем благодарен за разъяснение.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Вт 09 янв, 2007 2:10 am 
Не в сети

Зарегистрирован: Вт 02 янв, 2007 8:20 pm
Сообщения: 137
Откуда: SPb
maksymk писал(а):
Да в документации написано, что когда мы указываем tunnel, то это значит что пакет целиком пройдет дальнейшую инкапсуляцию в IPSec пакет. Но зачем его еще раз инкапсулировать, если он уже инкапсулирован при помощи gif интерфейса (для передачи через Интернет и таким образом организации тунеля) ?
Всем благодарен за разъяснение.

в транспортном режиме у тебя шифруется только содержимое пакета, а ip-заголовок - нет. в Tunnel mode шифруется целиком пакет вместе с ip-заголовком и помещается в новый ip-пакет.
Есть ещё расширение к tunnel mode, называемое nat-t. Там пакет заворачивается в udp пакет и в таком виде нормально проходит через nat.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 2 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика