Usando strongswan, qual é a diferença entre auto = add e auto = start?

Navegue suas respostas
3

Os documentos sobre este são muito vagos,

what operation, if any, should be done automatically at IPsec startup. add loads a connection without starting it. route loads a connection and installs kernel traps. If traffic is detected between leftsubnet and rightsubnet, a connection is established. start loads a connection and brings it up immediately. ignore ignores the connection. This is equal to deleting a connection from the config file. Relevant only locally, other end need not agree on it.

O que significa carregar uma conexão sem iniciá-la vs mencioná-la imediatamente? Alguém pode fornecer um exemplo simples?

    
por Evan Carroll 22.11.2013 / 22:31

3 respostas

7

O documento de introdução no wiki strongSwan tem mais algumas informações sobre isso . As três opções para iniciar conexões são as seguintes:

  • Manualmente (ou por pares remotos) : Conexões com auto=add são carregadas, mas nada acontece automaticamente depois. Eles podem ser iniciados manualmente usando ipsec up <name> (desde que um único nome de host / IP esteja configurado em right ).

    Tais conexões também permitem que peers remotos iniciem uma conexão, dado que seu IP corresponde ao que está configurado em right (assim, você verá conexões com right=%any em cenários de acesso remoto, onde os endereços IP dos clientes são geralmente desconhecido).

  • Automaticamente : Com auto=start , uma conexão é carregada e o daemon IKE será iniciado imediatamente para se conectar ao host remoto configurado em right . Isso é basicamente como chamar manualmente ipsec up para essas conexões diretamente após o daemon IKE ser iniciado.

  • On demand : O daemon IKE carregará conexões com auto=route e instalará políticas de trap, com base nos seletores de tráfego configurados com left|rightsubnet , na implementação subjacente do IPsec, por exemplo, o Linux núcleo. Quando o kernel encontrar posteriormente tráfego que corresponda a essas políticas, ele solicitará que o daemon do IKE inicie a conexão.

    Essas conexões também podem ser iniciadas manualmente usando ipsec up .

    Além disso, é possível remover as políticas instaladas no kernel mais tarde usando ipsec unroute . A conexão, então, tem o mesmo status de uma que foi adicionada com auto=add . Da mesma forma, as conexões que foram carregadas com auto=add (ou auto=start ) podem ser roteadas usando ipsec route .

por 23.11.2013 / 02:22
2

Vale a pena notar que auto=start não restabelecerá o túnel se estiver desligado. Isso pode causar problemas onde o encapsulamento surgirá perfeitamente quando você reiniciar o servidor (ou reiniciar o ipsec), mas falhará algum tempo depois - geralmente devido a um temporizador de inatividade definido pela outra parte. Por outro lado, se você definir auto=route , o strongswan garantirá que o túnel seja ativado toda vez que vir tráfego interessante.

    
por 11.04.2017 / 03:33
0

auto=add adicionará a conexão em um estado de escuta - pronto para o terminal remoto iniciar uma conexão.

auto=start adicionará a conexão e tentará iniciar uma conexão com o controle remoto.

Em geral, você quer um ponto (à esquerda ou à direita) para auto=add e a outra parte para auto=start

    
por 23.11.2013 / 00:10

Tags

Nagios verifica se pelo menos um entre dois serviços está OK O que constitui justificativa válida para mais endereços IP?