|
サイズ: 1425
コメント:
|
← 2011-01-11 23:18:23時点のリビジョン6 ⇥
サイズ: 2294
コメント:
|
| 削除された箇所はこのように表示されます。 | 追加された箇所はこのように表示されます。 |
| 行 11: | 行 11: |
= IPsecによるトンネルのためのpfルール = pfでIPsecの通信が通るように、取り合えずisakmpとespのパケットを双方向に通すようなルールを書いたのだが、tcpdumpしてみると時々次のようなパケットが引っかかっていた。 {{{ 19:36:23.584195 rule 14/0(match): pass in on gif0: (リモートのVPNゲートウェイ) > (ローカルのVPNゲートウェイ): frag (0|1232) ESP(spi=0x07d6bba2,seq=0x29f), length 1232 19:36:23.584210 rule 14/0(match): pass in on gif0: (リモートのVPNゲートウェイ) > (ローカルのVPNゲートウェイ): frag (1232|68) }}} 調べてみるとIPv6のフラグメントヘッダがついたパケットらしい。 FreeBSD Wikiの[[FreeBSD:IPv6TODO]]によれば、内容によってフィルタリングすることはまだできないようである。 |
Squidが別のIPアドレスで通信していた日
MMAに設置されている透過的リバースプロキシ(Squid)の通信元IPアドレスが、ゲートウェイ用のものではなくサーバの管理用アドレスになっていた。squidに以下の設定を加えることによって接続元のIPアドレスを変更することができた。
tcp_outgoing_address (ゲートウェイのIPアドレス)
問題はHTTPSの転送である。接続元IPアドレスを指定できるように実装した覚えがない。 connect.c自体にその機能がないように見える。ncコマンドであれば-sオプションで指定できるようなので後でこっちに変更しよう。
IPsecによるトンネルのためのpfルール
pfでIPsecの通信が通るように、取り合えずisakmpとespのパケットを双方向に通すようなルールを書いたのだが、tcpdumpしてみると時々次のようなパケットが引っかかっていた。
19:36:23.584195 rule 14/0(match): pass in on gif0: (リモートのVPNゲートウェイ) > (ローカルのVPNゲートウェイ): frag (0|1232) ESP(spi=0x07d6bba2,seq=0x29f), length 1232 19:36:23.584210 rule 14/0(match): pass in on gif0: (リモートのVPNゲートウェイ) > (ローカルのVPNゲートウェイ): frag (1232|68)
調べてみるとIPv6のフラグメントヘッダがついたパケットらしい。 FreeBSD WikiのIPv6TODOによれば、内容によってフィルタリングすることはまだできないようである。
IPsecによるVPNの構成
VPNで使われている通信メカニズムがよく分からない。どうやらracoon2というソフトウェアで鍵交換をしているらしいが、いつただのトンネルがVPNに化けるのかしら?
spmd_enable="YES" iked_enable="YES"
とりあえず後でこの辺を読む:
- マスタリングTCP/IP IPsec編
