IPsec でハマッたので、メモ - 私の二次記憶
とある事情で IPsec を勉強することになりました。って、以前も書いたっけか。インターネット関連プロトコルの勉強の近道は、実際にパケットをアナライザ*1で覗くことだと痛感しているので、試してみました。最近の Wireshark は、IPsec をデコード(認証チェック、暗号の復号)をできるので、非常に勉強になります*2。 まず最初に NetBSD NetBSD で IPsec を使う方法は、ここに詳しいです。 NetBSD IPsec FAQ 一つ注意しなくてはならない点として、上記ドキュメントでは ESP と AH を別々に用いる*3方法が書かれているのですが、IPsec version 2 以降、ESP プロトコル内部で認証を有効にすることができるようになったので、今は、そちらのほうが主流ではないかということです*4。実際、以下の Wireshark のデコード機能でも、ESP 内部
Rackspace Technology Documentation
Rackspace support and API documentation for all our services.
PPPoE ルータ同志で IPsec を構築するときの問題
IPsecで一部の通信が遮断される謎 IPsec構築時の問題点に書いたことですが、一部の通信が遮断される問題の原因を追求しました。一言で言えば、IPsecパケットが PPPoE(フレッツ網) を通るには大きすぎてフラグメントしていることが原因でした。 より詳細な原因 ネットワーク図 192.168.10.0/24 <--LAN--> FreeBSD <--Internet--> Linux 2.6 <--LAN--> 192.168.20.0/24 192.168.10.0 内のWindowsマシンから出るパケットは MTU(パケット最大サイズ)として 1454 が設定されています。しかし、フレッツ網を PPPoE で抜ける際に PPP でくるまれ、さらに IPsec でくるまれるためにこのサイズのパケットは通過できません(参考)。 次のようにIPパケットの断片化が発生しています。 # t
(FreeBSD6) racoon2 による IPsec の設定
racoon2 とは WIDE Project 内の Racoon2 Project によって開発されている、racoon に代わる IPsec 用 IKE deamon(鍵交換デーモン)です。現時点で 20061228a が最新版として公開されています。詳細は不明ですが、どうやらIKEv2に合わせ、全面的に書き直されているようで、従来のracoonとは設定ファイルの書式が異なります。 ftp://ftp.racoon2.wide.ad.jp/pub/racoon2/ racoon2 による設定事例はほとんど見ることができないので、ここに事例とハマりどころを記しておきます。質問などありましたら、答えられる範囲でお答えします。なお、IPsecの詳細については割愛します。 設定の目的 IKEv1 を使用して鍵交換を行い、Linux 2.6.x との間で IPsec 通信路を設定する。 事前共有
無印吉澤(※新エントリはhatenablogに掲載中) - IPsecのNAT越えに関するRFC , グループウェアAipo
吉澤です。このサイトではIPv6やP2Pなどの通信技術から、SNSやナレッジマネジメントなどの理論まで、広い意味での「ネットワーク」に関する話題を扱っていたのですが、はてなブログに引っ越しました。 最新の記事は http://muziyoshiz.hatenablog.com/ でご覧ください。 RSSフィードは http://muziyoshiz.hatenablog.com/feed に手動で変更するか、 Feedly or Live Dwango Reader を使っている方は以下のボタンで変更ください。 ■[NAT]IPsecのNAT越えに関するRFC NAT機器を挟んだノード間でIPsec通信をするための方法に関する2つのインターネットドラフトが、ようやっとRFCになりました。このドラフトについては以前のサイトでもTeredo関係の話題として取り上げたことがありますが、ここで改め
IT管理者のためのIPSec講座
今、あらゆる通信がIP(Internet Protocol)という共通の基盤を利用したものへと移行しつつある。またこれと同時に、通信の安全性についても関心が高まってきている。特に最近では、暗号化通信によるセキュリティ対策に関する話題が増えてきているようだ。 暗号化通信というと何か特別なものと思われるかもしれないが、インターネットを使った通信販売などのWebサイトでは、すでに一般的に使われるようになっている。インターネット通販の場合、商品名に加え、自分の住所や電話番号などの個人情報をWebページ上で入力することで注文を行う。最近では、クレジット・カードが利用できる店も増えてきたので、場合によってはカード番号も入力することになる。インターネットは、その特性上、途中でデータを盗み読むことも可能であり、こうした個人情報をそのままインターネット上で転送するのは、非常に危険な行為だといえるだろう。そこ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
CEC Juniper Community
Re: [LARTC] Multiple SA in the same IPSec tunnel
Page Redirect