https://opennet.me/openforum/vsluhforumID6/16244.html Объесните мне пожалуйста и приведит пример использования транспортного и тунельного режимов IPSec. Я никак не вкурить их предназначения и разницу.<br> https://opennet.me/openforum/vsluhforumID6/16244.html#13 Tue, 17 Jun 2014 15:10:20 GMT Отличное объяснение, спасибо =)<br> https://opennet.me/openforum/vsluhforumID6/16244.html#12 Thu, 15 May 2008 09:51:41 GMT &gt;Информация очень помогла но теперь следующяя проблема. Соединение устанавливается в режиме туннель <br>&gt;между маршрутизатором и сервером всё нормально (пишет в логах что соединение <br>&gt;установлено), но трафик не ходит ни пинги не иной другой. Снифер <br>&gt;трафика не отоброжает что идут зашифрованные покеты. Сдесь в чём могут <br>&gt;быть проблемы. <br><br>в acl скорей всего<br> https://opennet.me/openforum/vsluhforumID6/16244.html#11 Tue, 13 May 2008 06:26:00 GMT &gt;Информация очень помогла но теперь следующяя проблема. Соединение устанавливается в режиме туннель <br>&gt;между маршрутизатором и сервером всё нормально (пишет в логах что соединение <br>&gt;установлено), но трафик не ходит ни пинги не иной другой. Снифер <br>&gt;трафика не отоброжает что идут зашифрованные покеты. Сдесь в чём могут <br>&gt;быть проблемы. <br><br>в конфигурации либо сервера, либо маршрутизатора, либо того и другого :)<br>ты б хоть конфигур рутера что ли выложил...<br> https://opennet.me/openforum/vsluhforumID6/16244.html#10 Mon, 12 May 2008 20:24:43 GMT Информация очень помогла но теперь следующяя проблема. Соединение устанавливается в режиме туннель между маршрутизатором и сервером всё нормально (пишет в логах что соединение установлено), но трафик не ходит ни пинги не иной другой. Снифер трафика не отоброжает что идут зашифрованные покеты. Сдесь в чём могут быть проблемы.<br><br><br> https://opennet.me/openforum/vsluhforumID6/16244.html#9 Mon, 12 May 2008 14:06:30 GMT to Алексей<br><br>&gt;<br>&gt;ну Вы Наталья объяснили людям.... проще надо быть... проще ;) <br>&gt;<br><br>Согласна. <br>Ваше объяснение мне больше нравится :)<br><br>Спасибо<br> https://opennet.me/openforum/vsluhforumID6/16244.html#8 Mon, 12 May 2008 13:29:14 GMT Вставлю свои 5 копеек. Все далее сказанное мое имхо.<br><br>Для меня использование тунельного режима не совсем удобно, так как при этом нету явно выделеных интерфейсов через котрорые бегает трафик, к примеру, с одного офиса в другой. Отсюда специфика настройки фаервола. Для этого я использую обычные gif или gre тунели, которые защищаю с помощью ipsec но в транспортом режиме. Так как сам тунель уже добавляет свой заголовок, то в транспортном режиме ipsec шифруется как внутренний заголовок так и данные. При этом мы имеем по обе стороны по интерфейсу, через которые бегает шифрованные данные. В таком случае легко строить политики фаервола и тд.<br> https://opennet.me/openforum/vsluhforumID6/16244.html#7 Mon, 12 May 2008 11:40:07 GMT &gt;[оверквотинг удален]<br>&gt;и добавляются новые заголовки -- SA: 77.122.22.1 и DA: 87.232.32.1 <br>&gt;<br>&gt;Транспортный режим используется, если Вам нужно просто обезопасить передачу данных, но не <br>&gt;надо создавать туннель. Например, Вы передаете данные от одного в лок.сети <br>&gt;к другому: <br>&gt;<br>&gt; 192.168.1.1/24 [router или switch 3 уровня] 192.168.2.1/24 <br>&gt;<br>&gt;Тут уже заголовки не изменяются и пакет передается просто с SA: 192.168.1.1 <br>&gt;и DA: 192.168.2.1, но его содержимое защищено. <br><br>ну Вы Наталья объяснили людям.... проще надо быть... проще ;)<br><br>Туннель нужно юзать, когда соединяется, например, парочка маршрутизаторов, т.е. грубо говоря два шлюзы IPSec. Транспортный режим скорее нужно юзать, когда поднимается ВПН между, например, непосредственно оконечными станциями. В транспортном режиме будет шифроваться лишь полезная нагрузка, но не ip-заголовок, это с одной стороны добавляет всего лишь несколько байтов к пакету, а с другой стороны при анализе пакета можно увидеть настощие адреса отправителяи получателя, также https://opennet.me/openforum/vsluhforumID6/16244.html#6 Mon, 12 May 2008 10:35:50 GMT &gt;&gt;&gt;&gt;А пример использования? В каком случае использовать режим трансопорта а в каком <br>&gt;&gt;&gt;&gt;режим туннеля? <br>&gt;&gt;&gt;<br><br>Надеюсь, что смогу немного добавить понимания.<br><br>Туннельный режим используется тогда, когда Вам надо создать туннель. В основном, для построения VPN туннелей. <br>Например, Вы соединяете два офиса:<br><br>192.168.1.0/24 [router] 77.122.22.1 --- (Internet) --- 87.232.32.1 [router] 192.168.2.0/24 <br><br>Когда в туннельном режиме у Вас пакеты идут с SA: 192.168.1.1 и DA: 192.168.2.1, то они туннелируются (то есть инкапсулируется весь пакет IP) и добавляются новые заголовки -- SA: 77.122.22.1 и DA: 87.232.32.1<br><br>Транспортный режим используется, если Вам нужно просто обезопасить передачу данных, но не надо создавать туннель. Например, Вы передаете данные от одного в лок.сети к другому:<br><br> 192.168.1.1/24 [router или switch 3 уровня] 192.168.2.1/24 <br><br>Тут уже заголовки не изменяются и пакет передается просто с SA: 192.168.1.1 и DA: 192.168.2.1, но его содержимое защищено.<br> https://opennet.me/openforum/vsluhforumID6/16244.html#5 Mon, 12 May 2008 09:05:27 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;А пример использования? В каком случае использовать режим трансопорта а в каком <br>&gt;&gt;&gt;режим туннеля? <br>&gt;&gt;<br>&gt;&gt;транспорт используется когда не используется динамика и мультикаст между точками. <br>&gt;&gt;тунельный при использовании динамики(ospf, eigrp, и тд) <br>&gt;<br>&gt;ошибаетесь. <br>&gt;транспортная и туннельная моды не зависят от использования динамики и мультикаста... <br>&gt;транспортная мода нужна для того, чтобы в некоторых случаях уменьшить overhead <br><br>если коротко то:<br>в транспортном режиме шифруется только тело ip пакета<br>в тунельном и тело и заголовок.<br>