O que a opção de configuração Openswan “virtual_private” faz sob o capô?

3

Pelo que entendi, a opção de configuração virtual_private declara quais sub-redes devem ser permitidas pelo túnel e quais devem ser excluídas. Por exemplo, se eu tiver a seguinte configuração:

virtual_private=%v4:10.6.100.0/24,%v4:!192.168.11.0/24,%v4:10.10.0.254/24

.. de acordo com as redes ipsec auto --status 10.6.100.0/24 e 10.10.0.0/24 são permitidas e 192.168.11.0/24 não é permitido:

000 virtual_private (%priv):
000 - allowed 2 subnets: 10.6.100.0/24, 10.10.0.0/24
000 - disallowed 1 subnet: 192.168.11.0/24
000

O que isso permitiu e não permitiu? O que isso significa sob o capô? Existem algumas rotas criadas? Isso afeta algumas políticas do framework xfrm?

    
por Martin 04.01.2017 / 17:16

1 resposta

0

Essa configuração no lado do servidor é usada para especificar a qual rede o cliente pode acessar quando estiver atrás do roteador NAT através do qual os clientes se conectam. Geralmente, você desabilitará a rede na qual os clientes residem.

Este valor é geralmente definido para todo o espaço de endereçamento do RFC-1918, excluindo o espaço usado na sub-rede local atrás do NAT (um endereço IP não pode residir em dois locais ao mesmo tempo).

    
por 07.01.2017 / 17:57