|
|
Besucher 727660
Ansichten 541
Online 0 |
|
|
ipsec roadwarrior tunnel/transport mode
| |
| Thema |
Verfasser |
Letzte Antwort |
| ipsec roadwarrior tunnel/transport mode |
tobias ( ---.emea.daimlerchrysler.com) |
24 Sep 2008 10:15 | Hallo,
ich glaube das ist eine recht rudimentäre Frage 
Also ich habe Road Warriors, welche sich mit einem Security Gateway verbinden (dazwischen ist eine NAT). Dieser stellt einige Dienste bereit, wie beispielsweise einen Proxy, aber auch andere Dienste.
Der Security Gateway ist eine Multi Tier Architektur, falls das wichtig ist.
Jetzt ist meine Frage bzgl. Transport und Tunnel Modus.
Eigentlich wird der Tunnelmodus eingesetzt. Aber welchen Vorteil bringt er in meinem Falle? die äußere IP ist doch die selbe wie die innere, daher schützt es ja nicht die Verkehrsdaten? oder funktioniert der Transport Modus nicht, da dieser ja nur bei Peer to Peer eingesetzt werden kann. Der VPN Gateway könnte aber die Pakete forwarden?
edit:
Bringt das was in meinem Fall?
zu mobike hätte ich noch eine Frage:
in dieser config soll mobike funktionieren:
http://www.strongswan.org/uml/testresults42/ikev2/mobike-virtual-ip/alice.ipsec.conf
ich finde aber keine direktive die das mobike aktiviert.
wie funktioniert das? oder ist das bei ikev2 automatisch aktiviert?
---cut---
ich habe mir gerade diese Analyse zw. IKEv1 und IKEv2 durchgelesen:
http://www.math-info.univ-paris5.fr/~seret/paperb4F.pdf
In dem Paragraph 3 wird behauptet, dass ikev2 eine Phase 1 und Phase 2 hat und diese werden auch mit dem Main und Quick Mode von IKEv1 verglichen. Jedoch hat IKEv2 doch keinen Phase 2, da schon in den ersten 4 Meldungen die IPsec SA ausgehandelt, danach können über zusätzliche 2 Meldungen weitere SAs ausgehandelt werden. Jedoch macht der Quick Mode ja auch die initiale Aushandlung der IPsec SA, welche in IKEv2 ja schon in den ersten 4 Meldungen erstellt wurde.
Und im weiteren Verlauf des Artikels wird immer von Phase 1 und 2 geredet bei IKEv2.
Also ich dachte entweder hat IKEv2 keine Phase 2 oder da werden neue SAs ausgehandelt. Aber das würde mit dem Quick Mode ja nicht übereinstimmen, da bei IKEv1 in Phase 1 nur die ISAKMP SA ausgehandelt wird.
In dem Heise Artikel stand, dass nach vier Meldungen die IPsec SA steht. Aber jetzt zweifel ich langsam dran.
Werden die CREATE_CHILD_SA-Nachrichten für die Tunnelaushandlung benötigt, oder erst wenn noch weitere Child SAs (welche wohl gleichbedeutend mit den IPsec SAs sind) benötigt werden?
Ich sehe das so:
Nach der 4. Nachricht bei IKEv2 haben die Partner doch eine Child_SA ausgehandelt - bei IKEv1 haben sie nach Phase 1 erst eine ISAKMP SA ausgehandelt.
Aber das passt nicht auf das Dokument oben.
Irgendwas verstehe ich da falsch, oder?
Ich wäre Ihnen für eine Antwort sehr dankbar!
Grüsse
Tobias
|
| ||
| RE: ipsec roadwarrior tunnel/transport mode | Ralf ( ---.dip.t-dialin.net) | 4 Sep 2008 05:19 |
Hallo Tobias,
zu Punkt 1.
Wenn das Security Gateway nur als Proxy und Server und nicht als Router fungiert und auf der Seite des RW keine weiteren Rechner über den RW auf die Dienste zugreifen möchten, könnte auch der Transport-Modus genügen. Häufig wird jedoch dennoch der Tunnel-Modus verwendet, da er geläufiger ist. Der Overhead besteht lediglich in einem doppelten IP-Header. Der innere ist überflüssig (20 Bytes).
2. Wenn die entsprechende Version von Strongswan eingesetzt wird, ist keine spezielle Direktive für MobIKE nötig.
3. Der Artikel ist schlichtweg falsch. Nicht alles was im Internet veröffentlicht wird, darf man glauben ;-)
Gruß,
Ralf | | RE: RE: ipsec roadwarrior tunnel/transport mode | tobias ( ---.dip.t-dialin.net) | 16 Sep 2008 16:15 |
hallo
um MobIKE zu Nutzen braucht man aber den Tunnelmodus oder?
weil nur im Tunnelmodus bleibt dann die innere IP gleich. Also die "virtuelle" IP bleibt gleich und die äußere kann sich ändern. Oder würde das auch im Transportmodus gehen? Dann würde aber jedesmal die eigentliche Verbindung abbrechen, oder?
edit:
wie kann man denn die Meldungen von ipsec verfolgen?
ich kenne nur /var/log/auth.log
und mit ipsec status
Aber da sehe ich z.b. nicht die Meldungen von Mobike.
Kann man sich das nicht wie bei openvpn alles anzeigen lassen (am besten in echtzeit)?
edit2:
gibt es eigentlich für windows bzw. für windows CE schon implementierungen die IKEv2 unterstüzen?
edit3:
ich versuche gerade mit strongswan eine split rsa, psk aufzubauen. Es funktioniert leider nicht. in den Examples auf strongswan.org ist eine Datei namens strongswan.conf
Diese existiert bei mir nicht. sie liegt jedenfalls nicht in /etc/ so wie bei den beispielen dort.
Brauche ich diese Datei?
letzte Fragen:
wenn ich bei ikev2 bzw. strongswan eine conneciton aufbaue und ein NAT ist dazwischen. Muss dann ein dpd keepalives eingesetzt werden um die NAT Tabelleneintrag am leben zu erhalten. weil in den Examples mit nat auf strongswan.org ist nichts mit dpd...
ich habe noch ein wenig gesucht: http://tools.ietf.org/html/rfc3519 ich glaub Nat-T macht das selber. dpd braucht man dazu nicht, oder? aber wenn man noch dpd hat, dann ist das alles irgendwie doppelt?
wenn man mobike benutzt, dann würde doch der tunnel immer aufrecht bleiben. egal wie lang man off ist, oder? warum dann dpd? also um das jetzt für autos einzustellen, sollte man da überhaupt dpd aktivieren? wenn man es nicht drin hat, dann kann der Roadwarrior so lange offline sein wie er will, oder?
edit:
Kann man bei IKEv1 und IKEv2 das Rekeying nur nach Zeit machen oder kann man da auch Datenvolumen angeben so wie bei OpenVPN?
Grüsse
Tobias | | RE: RE: RE: ipsec roadwarrior tunnel/transport mode | Ralf ( ---.dip.t-dialin.net) | 24 Sep 2008 10:15 |
On 16 Sep 2008 16:15 'tobias' wrote:
> edit:
> wie kann man denn die Meldungen von ipsec verfolgen?
> ich kenne nur /var/log/auth.log
Den Debug-Level aufbohren.
> edit2:
> gibt es eigentlich für windows bzw. für windows CE schon implementierungen die IKEv2 unterstüzen?
Keine Ahnung. Mir sind keine bekannt.
> edit3:
> ich versuche gerade mit strongswan eine split rsa, psk aufzubauen. Es funktioniert leider nicht. in den Examples auf strongswan.org ist eine Datei namens strongswan.conf
> Diese existiert bei mir nicht. sie liegt jedenfalls nicht in /etc/ so wie bei den beispielen dort.
Die Beispiele sind eigentlich auch im Quelltext enthalten.
> wenn ich bei ikev2 bzw. strongswan eine conneciton aufbaue und ein NAT ist dazwischen. Muss dann ein dpd keepalives eingesetzt werden um die NAT Tabelleneintrag am leben zu erhalten. weil in den Examples mit nat auf strongswan.org ist nichts mit dpd...
Nein, NAT-T macht selbst ein keepalive für die Einträge.
> ich habe noch ein wenig gesucht: http://tools.ietf.org/html/rfc3519 ich glaub Nat-T macht das selber. dpd braucht man dazu nicht, oder? aber wenn man noch dpd hat, dann ist das alles irgendwie doppelt?
ja, obwohl es unterschiedliche Ziele hat.
>
> wenn man mobike benutzt, dann würde doch der tunnel immer aufrecht bleiben. egal wie lang man off ist, oder? warum dann dpd? also um das jetzt für autos einzustellen, sollte man da überhaupt dpd aktivieren? wenn man es nicht drin hat, dann kann der Roadwarrior so lange offline sein wie er will, oder?
Hmh.
>
> edit:
> Kann man bei IKEv1 und IKEv2 das Rekeying nur nach Zeit machen oder kann man da auch Datenvolumen angeben so wie bei OpenVPN?
Datenvolumen ist auch möglich.
Gruß,
Ralf |
[ Zurück ] Um ein neues Thema hinzu zu fügen müssen sie eingeloggt sein.
|
|
|
|
Welche Distribution verwenden Sie?
| |
|
|
|
17 Oct 2008: