Вопрос: Сжатие полезной нагрузки Ip с помощью xfrm


Я пытаюсь сжать полезную нагрузку ip с помощью ip xfrm между двумя компьютерами. Компьютер 1 имеет IP-адрес 192.168.0.1 и компьютер 2 192.168.0.2, Я успешно установил связь IPSec между двумя машинами, следующими этот смысл, Я попытался адаптировать его для сжатия. Я выполнил следующую команду:

Компьютер 1

sudo ip xfrm state add src 192.168.0.1 dst 192.168.0.2 proto comp comp deflate
sudo ip xfrm policy add src 192.168.0.1 dst 192.168.0.2 dir out tmpl proto comp

Компьютер 2

sudo ip xfrm state add src 192.168.0.1 dst 192.168.0.2 proto comp comp deflate
sudo ip xfrm policy add src 192.168.0.1 dst 192.168.0.2 dir in tmpl proto comp

Сначала я тестирую его, пинговая C2 с C1, и я захватываю трафик между wirehark. Пинг работает только одним способом: просто отправляется запрос (no respond found отображается на C2 и не отправляется ответ), а на wirehark я не вижу никакого сжатия в любом направлении. Я понял, что, поскольку полезная нагрузка слишком мала, поэтому xfrm не сжимает пакет.
Затем я попытался создать ssh соединение от C1 до C2. ssh работает отлично без сжатия. Когда я включаю сжатие, wirehark показывает сжатые пакеты, но клиент ssh ждет бесконечно (по той же причине, что и ping), и заканчивается connection timed out, Я думаю, это связано с тем, что M2 не распаковывает пакеты ip, пакеты не могут быть прочитаны и удалены.

Я знаю, что эти правила не являются двунаправленными и предназначены только для «загрузки». Поэтому я также попробовал, выполнив правила для загрузки: переключение ips и dir политика. Это приводит к тем же результатам.

Мои вопросы: Где я ошибаюсь? Какой хороший способ использовать xfrm иметь сжатие и получить ссылку «скачать»?

Пс: Я совершенно новый и отсутствие объяснений xfrm довольно сложно понять, как правильно использовать его и как он работает. Поэтому моя интерпретация раньше была неправильной.


1
2018-04-20 08:44


Источник


Обратите внимание, что использовать сжатие для зашифрованного трафика бессмысленно, поскольку зашифрованные данные обычно неотличимы от случайных данных (очень высокая энтропия). Лучше использовать функцию сжатия в самом SSH. - grawity
Ssh предназначен только для тестирования. Я также знаю, что сжатие изображения напрямую вместо того, чтобы делать на каждой полезной нагрузке ip, было бы более эффективным. Я делаю это с xfrm более или менее любопытством / для знания. - Taknok
Делает что-нибудь в wiki.strongswan.org/projects/strongswan/wiki/IPComp Помогите? - Ken Sharp


Ответы: