<div class="gmail_quote">On Thu, Feb 14, 2013 at 1:41 AM, Guillermo Ontañón <span dir="ltr"><<a href="mailto:guillermo@midokura.jp" target="_blank">guillermo@midokura.jp</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">Hi Jacob,<div><div class="gmail_extra"><br><div class="gmail_quote"><div class="im">On Wed, Feb 13, 2013 at 10:44 PM, Jacob Mandelson <span dir="ltr"><<a href="mailto:jlm@midokura.com" target="_blank">jlm@midokura.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Guillermo,<div><br><br>> I'm including below my initial discussion about adding IPsec<br>> support for midonet.<br>

<br></div>    I think this needs to emphasize that it's supporting IPSec VPNs only,<br>and not any other pieces of the IPSec suite.  (If I see "Supports<br>
IPSec" with no modifier, I expect it to terminate ESP, verify AH, and<br>perform IKE.)</blockquote><div><br></div></div><div>Yeah, good point. To be specific, implementing the current proposal would mean:</div><div>

<br></div><div>  * IKE (validation via PSK only, no certificates)</div><div>  * ESP termination.</div><div>  * So called 'route-based' VPNs with BGP. (this is what I call 'dynamic' in my proposal.</div>
<div>  * (maybe) 'policy-based' VPNs (what I call 'static' in my proposal.</div><div><br></div><div>I'll add it to the feature description.</div></div></div></div></div></blockquote><div><br>As I understand your proposal, it terminates ESP (specifically, it has the host OS terminate it), but only for VPN traffic.  This seems to fall shy of "ESP termination" sans modifiers.  For that, I'd expect MidoNet to be able to receive ESP traffic for a public address it manages and send its payload to the internal address.  Though with us terminating ESP for the VPN, we should be able to build on that to providing ESP termination for external/internal addresses.<br>
<br>     -- Jacob<br></div></div>