testing: Enable firewall for ikev2/compress scenario
authorTobias Brunner <tobias@strongswan.org>
Fri, 8 Nov 2013 09:54:20 +0000 (10:54 +0100)
committerTobias Brunner <tobias@strongswan.org>
Thu, 23 Jan 2014 09:27:13 +0000 (10:27 +0100)
Additionally, send a regular (small) ping as the kernel does not
compress small packets and handles those differently inbound.

testing/tests/ikev2/compress/description.txt
testing/tests/ikev2/compress/evaltest.dat
testing/tests/ikev2/compress/hosts/carol/etc/ipsec.conf
testing/tests/ikev2/compress/hosts/carol/etc/strongswan.conf
testing/tests/ikev2/compress/hosts/moon/etc/ipsec.conf
testing/tests/ikev2/compress/hosts/moon/etc/strongswan.conf
testing/tests/ikev2/compress/posttest.dat
testing/tests/ikev2/compress/pretest.dat

index 4782983..4c60384 100644 (file)
@@ -1,3 +1,4 @@
-This scenario enables IPCOMP compression between roadwarrior <b>carol</b> and
-gateway <b>moon</b>. Two pings from <b>carol</b> to <b>alice</b> checks
-the established tunnel with compression.
+This scenario enables IPComp compression between roadwarrior <b>carol</b> and
+gateway <b>moon</b>. Two pings from <b>carol</b> to <b>alice</b> check
+the established tunnel with compression. The packet sizes of the two pings
+are different because the kernel does not compress small packets.
index b989a77..843326e 100644 (file)
@@ -6,7 +6,7 @@ moon:: cat /var/log/daemon.log::IKE_AUTH request.*N(IPCOMP_SUP)::YES
 moon:: cat /var/log/daemon.log::IKE_AUTH response.*N(IPCOMP_SUP)::YES
 moon:: ip xfrm state::proto comp spi::YES
 carol::ip xfrm state::proto comp spi::YES
-carol::ping -n -c 2 -s 8184 -p deadbeef PH_IP_ALICE::8192 bytes from PH_IP_ALICE::YES
+carol::ping -n -c 1 -s 8184 -p deadbeef PH_IP_ALICE::8192 bytes from PH_IP_ALICE::YES
+carol::ping -n -c 1 PH_IP_ALICE::64 bytes from PH_IP_ALICE::YES
 moon::tcpdump::carol.strongswan.org > moon.strongswan.org: ESP::YES
 moon::tcpdump::moon.strongswan.org >  carol.strongswan.org: ESP::YES
-
index 7502175..7880989 100644 (file)
@@ -9,6 +9,7 @@ conn %default
        keyingtries=1
        keyexchange=ikev2
        compress=yes
+       leftfirewall=yes
 
 conn home
        left=PH_IP_CAROL
index 85d8c19..dc93764 100644 (file)
@@ -1,5 +1,5 @@
 # /etc/strongswan.conf - strongSwan configuration file
 
 charon {
-  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac xcbc stroke kernel-netlink socket-default
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac xcbc stroke kernel-netlink socket-default updown
 }
index aa1be04..718b3c8 100644 (file)
@@ -9,6 +9,7 @@ conn %default
        keyingtries=1
        keyexchange=ikev2
        compress=yes
+       leftfirewall=yes
 
 conn rw
        left=PH_IP_MOON
index 85d8c19..dc93764 100644 (file)
@@ -1,5 +1,5 @@
 # /etc/strongswan.conf - strongSwan configuration file
 
 charon {
-  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac xcbc stroke kernel-netlink socket-default
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac xcbc stroke kernel-netlink socket-default updown
 }
index c6d6235..046d4cf 100644 (file)
@@ -1,2 +1,4 @@
 moon::ipsec stop
 carol::ipsec stop
+moon::iptables-restore < /etc/iptables.flush
+carol::iptables-restore < /etc/iptables.flush
index f5aa989..29a9035 100644 (file)
@@ -1,3 +1,5 @@
+carol::iptables-restore < /etc/iptables.rules
+moon::iptables-restore < /etc/iptables.rules
 carol::ipsec start
 moon::ipsec start
 carol::sleep 2