Je ne peux pas de donner de réponses exactes mais quelques éléments de réponses.
IPCOMP ne peut être un requierement, il peut juste être mis en use. La majorité des systèmes permettent d'utiliser require avec ipcomp mais le code d'ipsec derrière n'honore pas le flag requiere.
La raison de ceci est le paragraphe 2.2 de la RFC 3173. En gros, si le header + taille des données compressés > taille des données alors on ne compresse pas les données. Ca evite la possible fragmentation et des cycles cpus inutiles côté reception.
Il est donc normal que tes trames soient envoyés sans header ipcomp et sans compression. Toutefois, ce n'est pas clair pourquoi la réponse ne revient pas.
Si tu veux vérifier que ipcomp fonctionne correctement avec ping, il faut donc
1 / utiliser une taille de paquet suffisante (genre 1200)
2/ si possible donner un motif facilement compressable à ping (option -p sous NetBSD, sous linux je ne sais pas si elle existe.).
Pour tes autres questions, ipsec-tools et ipcomp c'est OK (en tout cas sous NetBSD no problem). De toute facon ipsec-tools ne fait que de parler PF_KEY avec le kernel dans ce cas la, donc rien de bien difficile. Je doute que le bug vienne de la. La SAD et la SPD semble correcte.
Pour les 2 SA pour le mode tunnel, c'est normal. Il y'a bien deux transformations distinctes :
- encapsulation ( ip over ip)
- ipcomp (compression ip)
# IPSec et IPComp avec ipsec-tools
Posté par arnaudD . En réponse au message IPSec et IPComp avec ipsec-tools. Évalué à 1.
IPCOMP ne peut être un requierement, il peut juste être mis en use. La majorité des systèmes permettent d'utiliser require avec ipcomp mais le code d'ipsec derrière n'honore pas le flag requiere.
La raison de ceci est le paragraphe 2.2 de la RFC 3173. En gros, si le header + taille des données compressés > taille des données alors on ne compresse pas les données. Ca evite la possible fragmentation et des cycles cpus inutiles côté reception.
Il est donc normal que tes trames soient envoyés sans header ipcomp et sans compression. Toutefois, ce n'est pas clair pourquoi la réponse ne revient pas.
Si tu veux vérifier que ipcomp fonctionne correctement avec ping, il faut donc
1 / utiliser une taille de paquet suffisante (genre 1200)
2/ si possible donner un motif facilement compressable à ping (option -p sous NetBSD, sous linux je ne sais pas si elle existe.).
Pour tes autres questions, ipsec-tools et ipcomp c'est OK (en tout cas sous NetBSD no problem). De toute facon ipsec-tools ne fait que de parler PF_KEY avec le kernel dans ce cas la, donc rien de bien difficile. Je doute que le bug vienne de la. La SAD et la SPD semble correcte.
Pour les 2 SA pour le mode tunnel, c'est normal. Il y'a bien deux transformations distinctes :
- encapsulation ( ip over ip)
- ipcomp (compression ip)
J'espere que ca va t'avancer un peu.
--
Arnaud