タグ付けされた質問 「ipsec」

3
LinuxのIPsecボトルネックは何ですか?
ギガビットイーサネットで接続された2つのホスト間で、いくつかのネットワークセキュリティプロトコルのパフォーマンスを比較しようとしています。 ここでの私の目標は、帯域幅を飽和させることができるかどうかを確認することであり、そうでない場合、制限要因は何ですか。 SSLを使用すると、981 MBit / sに到達できるため、イーサネットリンクが明らかに制限要因になります。 SSHを使用すると、750 MBit / sにしか到達できませんが、コアの1つが100%使用されています。SSHはシングルスレッドであるため、CPUが制限要因です。 IPsecでは、約500 MBit / sを読み取りますが、100%のコアはありません(50%未満です)。 だから私の質問は次のとおりです。なぜIPsecはより高い帯域幅に到達できないのですか? 2つのホストは、Debian WheezyとStrongswan for IPsecを実行しています。

5
複数の正しいサブネットに接続しているOpenSwanが機能しない
Openswan(バージョン2.6.37)を使用して、ローカルネットワークからリモートサイトにIPsec VPNを接続しようとしています。リモートサイトの単一のサブネットに接続したいだけで、すべてが正常に機能します。ただし、リモートサイトには、アクセスする追加のサブネットもあります。 これは私の構成です: conn myConn type=tunnel left=192.168.139.14 leftsubnet=192.168.139.0/24 leftxauthclient=yes right=X.X.X.X rightsubnet=172.16.1.0/24 keyexchange=ike auth=esp authby=secret phase2alg=3des-sha1 pfs=yes に置き換えるrightsubnetとrightsubnets、次のようになります。 rightsubnets={172.16.1.0/24 192.168.3.0/24} ...接続は正常に作成されますが、リストの最後のサブネットのみが使用可能です。172.16.1.0サブネット上の何かをpingしようとしても失敗します。サブネットの順序を入れ替えると、pingはできます172.16.1.Xが、他のサブネットでは何もpingできません。これは、Openswanがリストの最後のサブネットのみを使用して接続を作成しているようです。 ここで何か間違ったことをしていますか? 私が言及するのを怠った追加情報の少し(それが関連するかどうかはわかりませんが):私のOpenSwanクライアントはNATを使用するルーターの背後nat_traversal=yesにあり、ipsec.confファイルにあります。
14 networking  vpn  ipsec 

1
仮想IPsecアダプターを追加するには何が必要ですか?
iproute2を使用して、コンソールから手動でIPsec接続をセットアップしようとしています。私が必要としているのは、IPsecがすべての進入(ESP / TUNNEL MODE)を変換し、それをeth0(私のシステムではem1と呼ばれます)に渡す仮想インターフェース(せいぜい、仮想IPアドレスでも十分です)です。もう一方のセットでは、ピアがパケットを自身のethから取り出して解読し、反対側の仮想インターフェイスに渡します。したがって、「通常の」IPsecトンネルを確立したいと思います。 ポリシーとSAには何の問題もありません。トランスポートモードのシステムの通常のイーサネットアドレスを使用して簡単に構成できます。 ip xfrm policy add src 198.51.100.1 dst 198.51.100.2 dir out tmpl proto esp ip xfrm state add src 198.51.100.1 dst 198.51.100.2 spi 24501 proto esp enc des 0xAABBCCDDEEFF0011 ip xfrm state add src 198.51.100.2 dst 198.51.100.1 spi 24501 proto esp enc des 0xAABBCCDDEEFF0022 ピアの敵対的な構成は非常にうまく機能します。 今私は仮想IPと他のシステムへのルートをセットアップしてみました …
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.