BSDPORTAL.RU
http://bsdportal.ru/

IPSec - разница между tunnel и transport modes
http://bsdportal.ru/viewtopic.php?f=23&t=10602
Страница 1 из 1

Автор:  maksymk [ Вс 30 июл, 2006 5:35 pm ]
Заголовок сообщения:  IPSec - разница между tunnel и transport modes

Вопрос к специалистам по IPSec.
Я успешно настроил VPN соединение между 2 сетями, как описано во FreeBSD Handbook. Но вот чего я так и не понял, так это разница между tunnel и transport mode в IPSec. В чем разница между правилами spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require и spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec esp/transport/A.B.C.D-W.X.Y.Z/require (где A.B.C.D и W.X.Y.Z - внешние IP шлюзов) ? Я пробовал и то и другое - работает одинаково.
Да в документации написано, что когда мы указываем tunnel, то это значит что пакет целиком пройдет дальнейшую инкапсуляцию в IPSec пакет. Но зачем его еще раз инкапсулировать, если он уже инкапсулирован при помощи gif интерфейса (для передачи через Интернет и таким образом организации тунеля) ?
Всем благодарен за разъяснение.

Автор:  homoadminus [ Вт 09 янв, 2007 2:10 am ]
Заголовок сообщения:  Re: IPSec - разница между tunnel и transport modes

maksymk писал(а):
Да в документации написано, что когда мы указываем tunnel, то это значит что пакет целиком пройдет дальнейшую инкапсуляцию в IPSec пакет. Но зачем его еще раз инкапсулировать, если он уже инкапсулирован при помощи gif интерфейса (для передачи через Интернет и таким образом организации тунеля) ?
Всем благодарен за разъяснение.

в транспортном режиме у тебя шифруется только содержимое пакета, а ip-заголовок - нет. в Tunnel mode шифруется целиком пакет вместе с ip-заголовком и помещается в новый ip-пакет.
Есть ещё расширение к tunnel mode, называемое nat-t. Там пакет заворачивается в udp пакет и в таком виде нормально проходит через nat.

Страница 1 из 1 Часовой пояс: UTC + 4 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/