আইপিএসসি টানেলের জন্য কেন কেবল 3 আইপি এক্সএফআরএম পলিসি প্রয়োজন?

আমার কাছে সাইট-টু-সাইট strongswanআইপিসি টানেল আপ এবং একটি (ভি 5.2.0) উদাহরণ (সাইট এ) এবং একটি RouterOSরাউটার (সাইট বি) এর মধ্যে চলছে । সবকিছু ঠিকঠাক কাজ করে, সাইটের এ ( 10.10.0.0/16) এবং বি ( 10.50.0.0/16) এর জন্য দুটি ব্যক্তিগত সাবনেট সেটআপের হোস্টগুলি একে অপরের সাথে ঠিক সূক্ষ্মভাবে যোগাযোগ করতে পারে।

ip xfrm policyসাইটের এ এর ​​রাউটারের নিম্নলিখিত আউটপুটটি যদিও আমি বুঝতে পারি না তা (পাবলিক আইপিগুলি অবরুদ্ধ)। থিস নীতিগুলি তৈরি করেছিল strongswan, আমি সেগুলি ম্যানুয়ালি ইনস্টল বা সংশোধন করি নি:

ip xfrm policy 
src 10.50.0.0/16 dst 10.10.0.0/16 
    dir fwd priority 2947 ptype main 
    tmpl src <PUBLIC_IP_B> dst <PUBLIC_IP_A>
        proto esp reqid 1 mode tunnel
src 10.50.0.0/16 dst 10.10.0.0/16 
    dir in priority 2947 ptype main 
    tmpl src <PUBLIC_IP_B> dst <PUBLIC_IP_A>
        proto esp reqid 1 mode tunnel
src 10.10.0.0/16 dst 10.50.0.0/16 
    dir out priority 2947 ptype main 
    tmpl src <PUBLIC_IP_A> dst <PUBLIC_IP_B>
        proto esp reqid 1 mode tunnel

ইনপুট এবং আউটপুট জন্য প্রতিটি নীতি আছে, কিন্তু ফরওয়ার্ডিংয়ের জন্য একটি মাত্র (সাইট বি থেকে সাইট এ)। কিন্তু আমি এখনও সফলভাবে উদাহরণস্বরূপ ping করতে পারেন, 10.50.4.11থেকে 10.10.0.89:

ping -R 10.50.4.11
PING 10.50.4.11 (10.50.4.11): 56 data bytes
64 bytes from 10.50.4.11: icmp_seq=0 ttl=62 time=10.872 ms
RR:     10.10.0.89
    10.50.0.1
    10.50.4.11
    10.50.4.11
    10.50.4.11
    10.10.0.2
    10.10.0.89

এই রুটের ট্রেস সম্পর্কে আকর্ষণীয় অংশটি হ'ল সাইট এ এর ​​রাউটার ( 10.10.0.2) কেবল পিং টার্গেট থেকে ফিরে রুটে প্রদর্শিত হবে, যখন সাইট বি এর রাউটার ( 10.50.0.1) কেবল বহির্গামী রুটের জন্য তালিকাভুক্ত রয়েছে।

এটি নিশ্চিত করে মনে হচ্ছে যে আইপিসে টানেলের উপরে ফরোয়ার্ড করার জন্য সাইটের এ এর ​​রাউটারে আসলে কোনও ফরোয়ার্ড নীতি নেই , তবে কেন তা আমি বুঝতে পারি না।10.10.0.0/1610.50.0.0/16

কোন ব্যাখ্যা জন্য ধন্যবাদ!

Fwd নীতি না স্বয়ংক্রিয়ভাবে কার্নেল দ্বারা উত্পন্ন কিন্তু এর পরিবর্তে keying ডেমন (এই ক্ষেত্রে strongSwan) দ্বারা ইনস্টল পেতে।

তাদের সুরক্ষা মোডে ভিপিএন গেটওয়ের পেছনের হোস্টগুলিতে এবং হোস্টের কাছ থেকে ট্র্যাফিকের আগত এবং প্রবেশের অনুমতি দেওয়া দরকার।

একটি অন্তর্মুখী প্যাকেটের জন্য যা গেটওয়েতে ইনস্টল করা হয়নি এমন একটি আইপি-র ঠিকানায় ডিক্রিপশন পরে একটি fwd নীতি অনুসন্ধান করা হয়। স্থানীয় ট্র্যাফিকের জন্য নীতিমালায় একটি মিল খুঁজে পাওয়া যায়। যদি কিছু না পাওয়া যায় তবে প্যাকেটটি ফেলে দেওয়া হয়।

বহির্মুখী ট্র্যাফিকের জন্য যা ভিপিএন গেটওয়েতে তৈরি হয় নি, নিজেই একটি fwd নীতি অনুসন্ধান করা হয়। যদি প্যাকেটটি এনক্রিপ্ট করা না থাকে তবে কোনও মিলে যাওয়া fwd নীতি না পাওয়া গেলে এটি ব্যর্থ হয়। এবং যদি ট্র্যাফিক দুটি টানেলের মধ্যে ফরোয়ার্ড করা হয় তবে একটির সাথে ইনস্টল করা ইনবাউন্ড fwd নীতি অন্য এবং তদ্বিপরীতগুলির জন্য আউটবাউন্ড fwd নীতি হিসাবে কাজ করবে । এরপরে, প্যাকেটটি সুড়ঙ্গ করা হবে কিনা তা সিদ্ধান্ত নিতে একটি আউট পলিসি সন্ধান করা হবে। যে কারণে বহির্মুখী দিকের একটি fwd নীতি প্রায়শই প্রয়োজন হয় না।

তবে, যদি উদাহরণস্বরূপ নিম্ন-অগ্রাধিকারের সাথে একটি ড্রপ / ব্লক fwd নীতি থাকে যা সমস্ত কিছুর সাথে মেলে (যেমন কোনও টানেল স্থাপন না করা হলে গেটওয়ে পেরিয়ে ক্লিয়ারটেক্সট ট্র্যাফিক এড়ানোর জন্য) আউটবাউন্ড দিকের একটি fwd নীতি পরিষ্কারভাবে আবশ্যক যা ব্লক নীতিটি হবে অন্যথায় সমস্ত এনক্রিপ্ট করা ট্র্যাফিক ফেলে দিন। এটা কেন strongSwan ইনস্টল শুরু হচ্ছে Fwd সঙ্গে উভয় নির্দেশাবলী মধ্যে নীতি 5.5.0 ।

এই উত্তরের পূর্ববর্তী সংস্করণে বলা হয়েছে যে একক (অভ্যন্তরীণ) fwd নীতিটি প্রতিসম (যেমন s এসআরসি এবং ডিএসটি উভয় দিকেই কাজ করে ) is এটি সত্য নয়, তবে অনেক পরিস্থিতিতে উপরে বর্ণিত হিসাবে এটি কিছু যায় আসে না।