To je skutecne v poradku. IPSEC je "connection-less" tunel. Neni zadne
"sestavovani tunelu". Bylo by to dobre videt pri staticke konfiguraci
klicu an obou stranach - kazdemu "protlacovanemu" paketu by odpovidal 1:1
jeden ESP paket - zadne sluzebni pakety.
snad len dodam, ze niektore implementacie - najma tie, skatulove - poznaju
volbu "nailed up". Ako tato feature funguje vnutri presne neviem, ale ma to
vyznam najma vtedy, ked druha strana ma dynamicku IP adresu a je potrebne
docielit, aby bol tunel up vzdy ked je online. Typicky napr. pobocka
pripojena via DSL s dynamickou IP vo vnutri ktorej su IP telefony. Na
OpenBSD som to riesil pingom na pozadi.
Takze, kdyz uz jsem nahodou nekde donucen IPSEC pouzivat (jako, ze se tomu
vyhybam) tak zasadne v konfiguraci IP over IP-IP (tj. GIF) over IPSEC/ESP
Na IPSec je krasne najma to, ze ti necha "normalne" MTU.
d~
rwi
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
