Для перемещения по дереву справки используйте строки заголовка.

Справка по NSG Linux 2.1.6
Дерево команд: tunnel.ipsec.connections.NAME.leftsubnet

Что это такое?

Это список защищаемых сетей на левой стороне туннеля.

Зачем это нужно?

Для отбора пакетов, которые должны быть направлены в туннель.

Как это настроить?

Ввести префикс левой приватной сети (в формате адрес/длина маски), или несколько префиксов через пробел. Фактически в конфигурации IPsec это будет параметр leftsubnets, а не leftsubnet, однако в командных оболочках NSG сохранён данный синтаксис для совместимости с конфигурациями от предыдущих версий. По умолчанию, используется значение left/32, т.е. сеть состоит из одного устройства left.

ВНИМАНИЕ! По существу технологии IPsec предполагается, что левая и правая (или локальная и удалённая) сети есть независимые подсети IP и не пересекаются по IP-адресам ни друг с другом, ни с публичной сетью. В противном случае результаты могут быть непредсказуемыми, в зависимости от особенностей реализации IPsec на обеих сторонах.
ПРИМЕЧАНИЕ. Дополнительно к отбору пакетов по IP-адресам, реализация IPsec в NSG Linux 2.1 допускает проверку по протоколам 4 уровня. Параметры для настройки протоколов в данной версии NSG Linux 2.1 не предусмотрены явным образом, но могут быть заданы, в случае необходимости, через поле extra-options:
connections
: имя
: : extra-options
: : : leftprotoport  = "протокол[/порт]"
: : : rightprotoport = "протокол[/порт]"

Протокол здесь может быть указан как номером, так и алфавитным именем. Для TCP и UDP можно указать специфический номер порта, как по номеру, так и по стандартному имени прикладного протокола, а также в виде записи %any. Значения протоколов и портов должны быть настроены согласованным образом на обеих сторонах.

ПРИМЕЧАНИЕ. Защищаемая сеть может быть не подключена к шлюзу IPSec напрямую, а доступна через некоторый промежуточный маршрутизатор (при условии, что маршрутизация между этими сетями настроена корректно). В этом случае в качестве left/rightsourceip указывается IP-адрес интерфейса, через который отправляются пакеты на промежуточный маршрутизатор.

В терминах настройки IPsec в Cisco, параметры leftsubnet и rightsubnet в совокупности соответствуют расширенному access-list, который используется для отбора трафика в туннель. Отличие состоит в том, что в реализациях IPsec для Linux используются только сплошные маски, шаблоны с чередованием нулей и единиц не допускаются. Для практических целей это не существенно, поскольку требуемые сплошные подсети можно перечислить по отдельности.


© Network Systems Group 2015–2024 Отдел документации