1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. Linux IPsec - více SA pro stejnou protistranu
« předchozí další »
Stran: [1]

Linux IPsec - více SA pro stejnou protistranu

  • 4 Odpovědí
  • 1409 Zhlédnutí

PeBo

Linux IPsec - více SA pro stejnou protistranu
« kdy: 31. 07. 2012, 09:01:38 »
Problém je následující: mám několik IPsec policy (s různým rozsahem adres, protokolem, apod.), které definují různé virtuální sítě, ovšem které vedou na stejný fyzický transport, tedy na stejný pár IP adres. Normálně použijí všechny tyto sítě stejné SA (to, které se použije, je vybráno podle IP adres). Potřeboval bych, aby bylo možné určit více SA (s různými parametry, např. klíči) pro stejný pár IP adres a příslušné SA by bylo vybráno třeba podle SPI (nebo nějakým jiným způsobem podle příslušné policy).

Existuje řešení tohoto problému?
IP zaznamenána

Reklama

  • * * * * *

PCnity

  • *****
  • 706
    • Zobrazit profil
    • E-mail
Re:Linux IPsec - více SA pro stejnou protistranu
« Odpověď #1 kdy: 31. 07. 2012, 09:15:54 »
Hello,

Pokial pouzivas OpenSwan/StrongSwan, pouzi miesto len klasickych left=x.x.x.x a right=y.y.y.y este aj leftid=@idxxx a ricghtid=@idyyy Tak isto pridefinovani x509 alebo PSK pouzijes mena a nie IP adresy.

Aj ked v tom neveidim zmysel, mozes mat medzi dvoma hostami viacero SA a idetifikuju sa podla mien ktore mozu byt uplne vymyslene.

Normalne by bestpractice odporucal pouzit hostname, nie je to vsak vobec podmienka. Moze to byt @mickeymouse1 napriklad :)
IP zaznamenána

PCnity

  • *****
  • 706
    • Zobrazit profil
    • E-mail
Re:Linux IPsec - více SA pro stejnou protistranu
« Odpověď #2 kdy: 31. 07. 2012, 09:20:20 »
conn XXXX
        rightid=@PrveID
        right=IP
        rightsubnet=Subnet
        leftid=@InyNazov
        left=IP
        leftsubnet=Subnet
        pfs=yes
        esp=aes256-sha1
        ike=aes256-sha1-modp2048!
        authby=secret
        keyingtries=0
        keylife=8640s
        ikelifetime=10000s
        disablearrivalcheck=no
        auto=start

a potom definujes podla toho PSK:

@PrveID   @InyNazov   : PSK "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
IP zaznamenána

PeBo

Re:Linux IPsec - více SA pro stejnou protistranu
« Odpověď #3 kdy: 31. 07. 2012, 09:25:54 »
Citace: PCnity  31. 07. 2012, 09:15:54
Hello,

Pokial pouzivas OpenSwan/StrongSwan, pouzi miesto len klasickych left=x.x.x.x a right=y.y.y.y este aj leftid=@idxxx a ricghtid=@idyyy Tak isto pridefinovani x509 alebo PSK pouzijes mena a nie IP adresy.


Díky za odpověď. O to tady ale nejde. Identifikace stran v IKE je něco jiného. Já se ptám, zda jádro danou věc podporuje (nebo ev. zda ji může nějak podporovat). Výběr příslušného SA dělá jádro při routování, jakékoli IKE "pouze" připravuje půdu pro tento výběr.
IP zaznamenána

PCnity

  • *****
  • 706
    • Zobrazit profil
    • E-mail
Re:Linux IPsec - více SA pro stejnou protistranu
« Odpověď #4 kdy: 31. 07. 2012, 09:48:55 »
A ako vizera ten setup teraz? Ak som spravne pochopil dotaz, ide len o to mat pre rovanky par IP adries viacero SA. Cize hoci aj ine PSK, ine P1 parametre, etc... V com je problem?
IP zaznamenána

Reklama

  • * * * * *
Stran: [1]
« předchozí další »
  1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. Linux IPsec - více SA pro stejnou protistranu