URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 66328
[ Назад ]

Исходное сообщение
"freebsd ipsec"
Отправлено tuxedo , 17-Май-06 10:32

Предположим, что существует две сетки, одна приватная с НАТом, вторая полностью публичная
Скажем так,
1-я сеть - 192.168.1.0/24, внешний адрес 1.1.1.1
2-я сеть - 2.2.2.0/24
Нужно сделать шифрованный канал между сетями.
Я решил сделать так:
Между хостами 1.1.1.1 и 2.2.2.2 поднять ipsec туннель.
Создаём туннель:
gif_interfaces="YES"
gif_interfaces="gif0"
gifconfig_gif0="1.1.1.1 2.2.2.2"
Но вот вопрос, согласно документации, для туннеля нужно указать адреса внешние и адреса внутренние, то есть адреса приватных сеток, но ведь у нас приватная сетка только с одной стороны, со второй всё открыто и публично. Получается нужно написать в конфиге так:
ifconfig_gif0="inet 192.168.1.1 2.2.2.2"
Вот вопрос в том, что есть подозрения, что не будет такое работать.
Тем не менее, я проверял, в транспортном режиме ipsec работает, трафик шифрованный гоняется между хостами, но нужно все же решать вопрос доступа к приватной сетке, подскажите, если я просто создам туннель
gif_interfaces="YES"
gif_interfaces="gif0"
gifconfig_gif0="1.1.1.1 2.2.2.2"
и добавлю маршрут на хосте 2.2.2.2
route add -net 192.168.1.0/24 -iface gif0
то будет мне счастье???
Другие методы прошу не предлагать, нужен именно ipsec
Заранее спасибо

Содержание

freebsd ipsec,hromach, 13:31 , 17-Май-06
- freebsd ipsec,tuxedo, 15:47 , 17-Май-06
  - freebsd ipsec,hromach, 13:25 , 18-Май-06
    - freebsd ipsec,hromach, 13:44 , 18-Май-06
      - freebsd ipsec,hromach, 08:47 , 19-Май-06

Сообщения в этом обсуждении

"freebsd ipsec"
Отправлено hromach , 17-Май-06 13:31

скорей всего gif не надо поднимать для такого случая (пусть меня поправят если ошибаюсь)
для шифрования тебе нужны правила ipsec.
man setkey
и правильно настроенный демон racoon

"freebsd ipsec"
Отправлено tuxedo , 17-Май-06 15:47

>скорей всего gif не надо поднимать для такого случая (пусть меня поправят
>если ошибаюсь)
>
>для шифрования тебе нужны правила ipsec.
>man setkey
>
>и правильно настроенный демон racoon
а как быть с маршрутизацией?
Как мне из публичной сети пробиться к приватной?

"freebsd ipsec"
Отправлено hromach , 18-Май-06 13:25

>Как мне из публичной сети пробиться к приватной?
на 2.2.2.x делаешь
route add 192.168.1.0/24 1.1.1.1

"freebsd ipsec"
Отправлено hromach , 18-Май-06 13:44

>>Как мне из публичной сети пробиться к приватной?
>
>на 2.2.2.x делаешь
>route add 192.168.1.0/24 1.1.1.1
вообщето с натом не заработает... наверно действительно нужно gif делать чтобы нат обойти

"freebsd ipsec"
Отправлено hromach , 19-Май-06 08:47

Есть идея. Там где нет "внутреннего" ip-адреса надо его придумать и настроить все как будто внутренний интерфейс существует. Скорей всего будет работать.