URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3159
[ Назад ]

Исходное сообщение
"Что должно быть в spdadd в ipsec.conf"

Отправлено DenSha , 11-Фев-07 10:27 
Доброго дня.

Кто может подсказать правильный вид spdadd и esp для тунеля ipsec? По одним источникам - и там и там - адреса внешних интерфейсов, по другим - в spdadd - внутренние. Кому верить?


Содержание

Сообщения в этом обсуждении
"Что должно быть в spdadd в ipsec.conf"
Отправлено pavel , 11-Фев-07 11:32 
spdadd [локальная сеть1/маска] [локальная сеть2/маска] any -P out ipsec esp/tunnel/[gateway первой сети]-[gateway второй сети]/require;                                                            
spdadd [локальная сеть2/маска] [локальная сеть1/маска] any -P in ipsec esp/tunnel/[gateway второй сети]-[gateway первой сети]/require;
в хендбуке все детально описано

"Что должно быть в spdadd в ipsec.conf"
Отправлено Alligator , 11-Фев-07 13:00 
spdadd ТВОЯ_СЕТЬ/24 УДАЛЕННАЯ_СЕТЬ/24 any -P out ipsec
esp/tunnel/ТВОЙ_ВНЕШНИЙ_IP-УДАЛЕННЫЙ_ВНЕШНИЙ_IP/require;
spdadd УДАЛЕННАЯ_СЕТЬ/24 ТВОЯ_СЕТЬ/24 any -P in ipsec
esp/tunnel/УДАЛЕННЫЙ_ВНЕШНИЙ_IP-ТВОЙ_ВНЕШНИЙ_IP/require
Посмотри внимательно вкури и будет щастье ;))



"Что должно быть в spdadd в ipsec.conf"
Отправлено DenSha , 11-Фев-07 14:59 
>spdadd [локальная сеть1/маска] [локальная сеть2/маска] any -P out ipsec esp/tunnel/[gateway первой сети]-[gateway
>второй сети]/require;
>spdadd [локальная сеть2/маска] [локальная сеть1/маска] any -P in ipsec esp/tunnel/[gateway второй сети]-[gateway
>первой сети]/require;
>в хендбуке все детально описано

То-то я в двух хэндбуках (рус, англ-с www.freebsd.org) смотрю:
spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec
  esp/tunnel/A.B.C.D-W.X.Y.X/require; ...


"Что должно быть в spdadd в ipsec.conf"
Отправлено langolier , 14-Фев-07 17:08 
А что на выходе получить надо?

"Что должно быть в spdadd в ipsec.conf"
Отправлено DenSha , 19-Фев-07 13:36 
>А что на выходе получить надо?

Да в принципе то, что надо, получено. IPSec-тунель работает. Теперь бы еще понять, почему не так, как предполагалось по хэндбуку и части статей. Т.е. для того, чтобы заработало, в ipsec.conf за spdadd идут lan1addr/24 и lan2addr/24, а не pub1addr/32 и pub2addr/32, как предлагает хэндбук. При этом, насколько я понял (и в этом форуме такое говорилось), тунель поднимается силами самого ipsec, а gif-интерфейс остается не у дел. Все правила ipfw, касающиеся gif и ipencap, стоят в нулях. Но и по хэндбуку все логично, и в статьях пишут, что "...все настройки с рабочей конфигурации ...". Вот и интересно - почему так. (у меня фри 4.10)