Zum Hauptinhalt springen

2.19. Requesting an Internal Address on a Remote Network (Interne Adresse im entfernten Netz)

2.19. Requesting an Internal Address on a Remote Network (Interne Adresse im entfernten Netz)

Häufig im Szenario Endpunkt-Sicherheitsgateway: Ein Endpunkt benötigt eine IP im vom Gateway geschützten Netz, ggf. dynamisch. Eine Anfrage kann in jeder Child-SA-Erstellung (einschließlich implizit in Nachricht 3) durch CP-Nutzlast erfolgen. Üblich ist nur eine Adresse während IKE_AUTH; sie bleibt mindestens bis IKE-SA-Löschung.

Die Funktion weist einem IPsec Remote Access Client (IRAC) Adressen zu, der per Tunnel in ein vom IPsec Remote Access Server (IRAS) geschütztes Netz geht. Da IKE_AUTH IKE SA und Child SA erstellt, MUSS der IRAC die IRAS-Adresse (und optional weitere Infos) in IKE_AUTH anfordern. Der IRAS kann Adressen von DHCP/BOOTP oder einem Pool beziehen.

Initiator                         Responder
-------------------------------------------------------------------
 HDR, SK {IDi, [CERT,]
    [CERTREQ,] [IDr,] AUTH,
    CP(CFG_REQUEST), SAi2,
    TSi, TSr}  -->
                          <--  HDR, SK {IDr, [CERT,] AUTH,
                                   CP(CFG_REPLY), SAr2,
                                   TSi, TSr}

CP MUSS vor SA stehen. Bei mehreren IKE_AUTH MÜSSEN CP in den Nachrichten mit SA stehen.

CP(CFG_REQUEST) MUSS mindestens INTERNAL_ADDRESS (IPv4 oder IPv6) enthalten und KANN weitere gewünschte Attribute enthalten.

Beispiel Initiator→Responder:

CP(CFG_REQUEST)=
  INTERNAL_ADDRESS()
TSi = (0, 0-65535, 0.0.0.0-255.255.255.255)
TSr = (0, 0-65535, 0.0.0.0-255.255.255.255)

HINWEIS: Traffic Selectors = (Protokoll, Portbereich, Adressbereich).

Responder→Initiator:

CP(CFG_REPLY)=
  INTERNAL_ADDRESS(192.0.2.202)
  INTERNAL_NETMASK(255.255.255.0)
  INTERNAL_SUBNET(192.0.2.0/255.255.255.0)
TSi = (0, 0-65535, 192.0.2.202-192.0.2.202)
TSr = (0, 0-65535, 192.0.2.0-192.0.2.255)

Werte sind implementierungsabhängig. Der IRAS KANN nicht angeforderte Attribute senden und KANN nicht unterstützte optionale ignorieren.

Der Responder DARF CFG_REPLY nicht senden, ohne vorher CP(CFG_REQUEST) erhalten zu haben.

Fordert die IRAS-Konfiguration CP für ein IDi, sendet der IRAC aber kein CP(CFG_REQUEST), MUSS der IRAS mit FAILED_CP_REQUIRED abbrechen. Das ist für die IKE SA nicht fatal. Keine zugehörigen Daten.

Letztes Update am