<div dir="ltr">Hi, I think you guys are talking about the same concepts. Let me see if I understand correctly:<div><br></div><div style>Requirement: be able to connect to Amazon VPN</div><div style><br></div><div style>We MUST:</div>
<div style>- Offer ESP termination</div><div style>- Offer IKE, for authentication coordination</div><div style><br></div><div style>We SHOULD:</div><div style>- Offer BGP failover on routes over ESP</div><div style><br></div>
<div style>We MAY:</div><div style>- Offer AH</div><div style>- Offer other IPsec suite capabilities</div><div style><br></div><div style><pre style="color:rgb(0,0,0);word-wrap:break-word;white-space:pre-wrap">      The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL
      NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED",  "MAY", and
      "OPTIONAL" in this document are to be interpreted as described in
      RFC 2119.</pre><pre style="color:rgb(0,0,0);word-wrap:break-word;white-space:pre-wrap"><br></pre></div><div style>--</div><div style>abel</div><div style><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On Thu, Feb 14, 2013 at 10:52 PM, Jacob Mandelson <span dir="ltr"><<a href="mailto:jlm@midokura.com" target="_blank">jlm@midokura.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="gmail_quote"><div class="im">On Thu, Feb 14, 2013 at 1:41 AM, Guillermo Ontañón <span dir="ltr"><<a href="mailto:guillermo@midokura.jp" target="_blank">guillermo@midokura.jp</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div dir="ltr">Hi Jacob,<div><div class="gmail_extra"><br><div class="gmail_quote"><div>On Wed, Feb 13, 2013 at 10:44 PM, Jacob Mandelson <span dir="ltr"><<a href="mailto:jlm@midokura.com" target="_blank">jlm@midokura.com</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Guillermo,<div><br><br>> I'm including below my initial discussion about adding IPsec<br>> support for midonet.<br>


<br></div>    I think this needs to emphasize that it's supporting IPSec VPNs only,<br>and not any other pieces of the IPSec suite.  (If I see "Supports<br>
IPSec" with no modifier, I expect it to terminate ESP, verify AH, and<br>perform IKE.)</blockquote><div><br></div></div><div>Yeah, good point. To be specific, implementing the current proposal would mean:</div><div>


<br></div><div>  * IKE (validation via PSK only, no certificates)</div><div>  * ESP termination.</div><div>  * So called 'route-based' VPNs with BGP. (this is what I call 'dynamic' in my proposal.</div>
<div>  * (maybe) 'policy-based' VPNs (what I call 'static' in my proposal.</div><div><br></div><div>I'll add it to the feature description.</div></div></div></div></div></blockquote></div><div><br>As I understand your proposal, it terminates ESP (specifically, it has the host OS terminate it), but only for VPN traffic.  This seems to fall shy of "ESP termination" sans modifiers.  For that, I'd expect MidoNet to be able to receive ESP traffic for a public address it manages and send its payload to the internal address.  Though with us terminating ESP for the VPN, we should be able to build on that to providing ESP termination for external/internal addresses.<span class="HOEnZb"><font color="#888888"><br>

<br>     -- Jacob<br></font></span></div></div>
</blockquote></div><br></div>