방금 VPN 연결(l2tp)을 구성했지만 실행하면 다음과 같은 결과 ipsec verify가 나타납니다.
$ ipsec verify
...
NETKEY: Testing XFRM related proc values
ICMP default/send_redirects [NOT DISABLED]
Disable /proc/sys/net/ipv4/conf/*/send_redirects or NETKEY will cause act on or cause sending of bogus ICMP redirects!
ICMP default/accept_redirects [NOT DISABLED]
Disable /proc/sys/net/ipv4/conf/*/accept_redirects or NETKEY will cause act on or cause sending of bogus ICMP redirects!
XFRM larval drop [OK]
이것이 무엇을 의미하는지 간단한 단어로 설명해 주실 수 있나요? 비활성화하지 않으면 어떻게 되나요?
답변1
~을 위한리디렉션 보내기에서 답을 찾을 수 있습니다.리버스완 FAQ:
휴대폰에서 사용하는 클라우드에 VPN 서버가 있다고 가정해 보겠습니다. 귀하의 전화기는 IPsec VPN으로 설정되며 모든 트래픽은 암호화되어 클라우드 인스턴스로 전송됩니다. 클라우드 인스턴스는 이를 해독하고 SNAT를 사용하여 인터넷으로 전송합니다. 수신된 응답은 암호화되어 귀하의 휴대폰으로 전송됩니다.
전화기는 암호화된 데이터 패킷을 VPN 서버로 보냅니다. 서버는 eth0(유일한 인터페이스!)에서 이를 수신하고 이를 해독합니다. 그런 다음 해독된 패킷을 라우팅할 수 있습니다. 서버는 패킷이 어느 인터페이스로 전송되어야 하는지 확인합니다. eth0에서 나갈 예정입니다. 패킷이 eth0을 통해 들어오고 eth0을 통해 나가기 때문에 서버는 동일한 인터페이스에서 나오므로 분명히 자신을 포함하지 않는 더 나은 경로를 가져야 합니다. 패킷이 암호화되어 도착하여 해독되었는지는 알 수 없습니다.
그렇기 때문에 다음 명령을 사용하여 /etc/sysctl.conf에서 "send_redirects"를 비활성화하는 것이 좋습니다.
아마도스트롱스완 소개여기서는 좀 더 명확합니다.
VPN 게이트웨이가 LAN의 기본 게이트웨이가 아닌 경우 ICMP 리디렉션이 호스트로 반환될 수 있습니다. 작동하지 않아 트래픽이 암호화되지 않을 수 있습니다.) 이를 방지하려면 net.ipv4.conf.all.send_redirects 및 net.ipv4.conf.default.send_redirects를 0으로 설정하여 이러한 ICMP 메시지 전송을 비활성화하십시오(인터페이스가 나타나기 전에 후자가 설정되지 않은 경우 개별 옵션도 설정하십시오). 인터페이스(예: net.ipv4.conf..send_redirects).
~을 위한리디렉션 수락내 생각에는 좋은 네트워킹 연습이 필요합니다. VPN 게이트웨이는 모든 로컬 경로를 알아야 하므로 모든 ICMP 리디렉션은 가짜이므로 무시해야 합니다.