私はVPN接続(l2tp)を設定しましたが、実行すると次の結果ipsec verifyが表示されます。
$ ipsec verify
...
NETKEY: Testing XFRM related proc values
ICMP default/send_redirects [NOT DISABLED]
Disable /proc/sys/net/ipv4/conf/*/send_redirects or NETKEY will cause act on or cause sending of bogus ICMP redirects!
ICMP default/accept_redirects [NOT DISABLED]
Disable /proc/sys/net/ipv4/conf/*/accept_redirects or NETKEY will cause act on or cause sending of bogus ICMP redirects!
XFRM larval drop [OK]
これが何を意味するのかを簡単な言葉で説明できますか?無効にしないとどうなりますか?
答え1
~のためリダイレクトを送信で答えを見つけることができます。リバースワンのよくある質問:
携帯電話で使用するクラウドにVPNサーバーがあるとします。お使いの電話機は IPsec VPN に設定され、すべてのトラフィックは暗号化され、クラウドインスタンスに送信されます。クラウドインスタンスはそれを復号化し、SNATを使用してインターネットに転送します。受信した応答は暗号化され、お使いの携帯電話に送信されます。
電話機は暗号化されたデータパケットをVPNサーバーに送信します。サーバーはeth0(唯一のインターフェース!)でそれを受け取り、それを解読します。その後、復号化されたパケットをルーティングできます。サーバーは、パケットがどのインターフェイスに送信されるべきかを確認します。 eth0から出る予定です。パケットはeth0を介して着信し、eth0を通過するため、サーバーは同じインターフェイスから来るため、明らかに自分自身を含まないより良いパスを持つ必要があります。パケットが暗号化されて到着して復号されたかどうかは不明です。
そのため、次のコマンドを使用して /etc/sysctl.conf で "send_redirects" を無効にすることをお勧めします。
おそらくストロングスワンについてここではもう少し明確です。
VPNゲートウェイがLANのデフォルトゲートウェイではない場合、ICMPリダイレクトがホストに返されることがあります。機能しないため、トラフィックが暗号化されない可能性があります。)これを防ぐには、net.ipv4.conf.all.send_redirectsおよびnet.ipv4.conf.default.send_redirectsを0に設定してこれらのICMPメッセージ転送を無効にします(インターフェイスが表示される前に後者が設定されていない場合は、個々のオプションも設定してください。インターフェース(例:net.ipv4.conf..send_redirects)。
~のためリダイレクトを受け入れる私の考えでは、良いネットワーキングの練習が必要です。 VPNゲートウェイはすべてのローカルパスを知る必要があるため、すべてのICMPリダイレクトは偽であるため無視する必要があります。