## page was renamed from ytoku/daily-record/2010-01-11
= Squidが別のIPアドレスで通信していた日 =

MMAに設置されている透過的リバースプロキシ(Squid)の通信元IPアドレスが、ゲートウェイ用のものではなくサーバの管理用アドレスになっていた。squidに以下の設定を加えることによって接続元のIPアドレスを変更することができた。
{{{
tcp_outgoing_address (ゲートウェイのIPアドレス)
}}}

問題はHTTPSの転送である。接続元IPアドレスを指定できるように実装した覚えがない。
connect.c自体にその機能がないように見える。ncコマンドであれば-sオプションで指定できるようなので後でこっちに変更しよう。

= IPsecによるトンネルのためのpfルール =
pfでIPsecの通信が通るように、取り合えずisakmpとespのパケットを双方向に通すようなルールを書いたのだが、tcpdumpしてみると時々次のようなパケットが引っかかっていた。
{{{
19:36:23.584195 rule 14/0(match): pass in on gif0: (リモートのVPNゲートウェイ) > (ローカルのVPNゲートウェイ): frag (0|1232) ESP(spi=0x07d6bba2,seq=0x29f), length 1232
19:36:23.584210 rule 14/0(match): pass in on gif0: (リモートのVPNゲートウェイ) > (ローカルのVPNゲートウェイ): frag (1232|68)
}}}
調べてみるとIPv6のフラグメントヘッダがついたパケットらしい。
FreeBSD Wikiの[[FreeBSD:IPv6TODO]]によれば、内容によってフィルタリングすることはまだできないようである。

= IPsecによるVPNの構成 =
VPNで使われている通信メカニズムがよく分からない。どうやらracoon2というソフトウェアで鍵交換をしているらしいが、いつただのトンネルがVPNに化けるのかしら？
{{{
spmd_enable="YES"
iked_enable="YES"
}}}

とりあえず後でこの辺を読む:
 * [[http://www.jp.freebsd.org/cgi/mroff.cgi?subdir=man&lc=1&cmd=&man=ipsec&dir=jpman-8.2.2%2Fman&sect=0|ipsec(4)]]
 * [[http://member.wide.ad.jp/draft/wide-draft-ipsec-report2004-01.pdf|IPsec鍵交換アーキテクチャracoon2の開発(pdf)]]
 * マスタリングTCP/IP IPsec編