Доброго дня.Кто может подсказать правильный вид spdadd и esp для тунеля ipsec? По одним источникам - и там и там - адреса внешних интерфейсов, по другим - в spdadd - внутренние. Кому верить?
spdadd [локальная сеть1/маска] [локальная сеть2/маска] any -P out ipsec esp/tunnel/[gateway первой сети]-[gateway второй сети]/require;
spdadd [локальная сеть2/маска] [локальная сеть1/маска] any -P in ipsec esp/tunnel/[gateway второй сети]-[gateway первой сети]/require;
в хендбуке все детально описано
spdadd ТВОЯ_СЕТЬ/24 УДАЛЕННАЯ_СЕТЬ/24 any -P out ipsec
esp/tunnel/ТВОЙ_ВНЕШНИЙ_IP-УДАЛЕННЫЙ_ВНЕШНИЙ_IP/require;
spdadd УДАЛЕННАЯ_СЕТЬ/24 ТВОЯ_СЕТЬ/24 any -P in ipsec
esp/tunnel/УДАЛЕННЫЙ_ВНЕШНИЙ_IP-ТВОЙ_ВНЕШНИЙ_IP/require
Посмотри внимательно вкури и будет щастье ;))
>spdadd [локальная сеть1/маска] [локальная сеть2/маска] any -P out ipsec esp/tunnel/[gateway первой сети]-[gateway
>второй сети]/require;
>spdadd [локальная сеть2/маска] [локальная сеть1/маска] any -P in ipsec esp/tunnel/[gateway второй сети]-[gateway
>первой сети]/require;
>в хендбуке все детально описаноТо-то я в двух хэндбуках (рус, англ-с www.freebsd.org) смотрю:
spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec
esp/tunnel/A.B.C.D-W.X.Y.X/require; ...
А что на выходе получить надо?
>А что на выходе получить надо?Да в принципе то, что надо, получено. IPSec-тунель работает. Теперь бы еще понять, почему не так, как предполагалось по хэндбуку и части статей. Т.е. для того, чтобы заработало, в ipsec.conf за spdadd идут lan1addr/24 и lan2addr/24, а не pub1addr/32 и pub2addr/32, как предлагает хэндбук. При этом, насколько я понял (и в этом форуме такое говорилось), тунель поднимается силами самого ipsec, а gif-интерфейс остается не у дел. Все правила ipfw, касающиеся gif и ipencap, стоят в нулях. Но и по хэндбуку все логично, и в статьях пишут, что "...все настройки с рабочей конфигурации ...". Вот и интересно - почему так. (у меня фри 4.10)