Aleksey Keda представил (http://www.lissyara.su/?id=1328) практический пример настройки туннеля с использованием IPSEC во FreeBSD 6.2.

URL: http://www.lissyara.su/?id=1328
Новость: http://www.opennet.me/opennews/art.shtml?num=10141

• Настройка шифрованного IPSEC туннеля во FreeBSD 6.2,Mikk, 11:46 , 17-Мрт-07
  • Настройка шифрованного IPSEC туннеля во FreeBSD 6.2,Квагга, 19:05 , 17-Мрт-07
• Настройка шифрованного IPSEC туннеля во FreeBSD 6.2,toor99, 12:04 , 17-Мрт-07
• Настройка шифрованного IPSEC туннеля во FreeBSD 6.2,Аноним, 13:05 , 17-Мрт-07
  • Настройка шифрованного IPSEC туннеля во FreeBSD 6.2,Дохтур, 02:14 , 18-Мрт-07
• Настройка шифрованного IPSEC туннеля во FreeBSD 6.2,Dorlas, 14:34 , 17-Мрт-07
  • Настройка шифрованного IPSEC туннеля во FreeBSD 6.2,CrazyF, 17:56 , 17-Мрт-07
    • Настройка шифрованного IPSEC туннеля во FreeBSD 6.2,неаноним, 18:17 , 17-Мрт-07
• Настройка шифрованного IPSEC туннеля во FreeBSD 6.2,lissyara, 21:37 , 17-Мрт-07
  • Настройка шифрованного IPSEC туннеля во FreeBSD 6.2,CrazyF, 14:46 , 19-Мрт-07
    • Настройка шифрованного IPSEC туннеля во FreeBSD 6.2,lissyara, 15:16 , 19-Мрт-07
      • Настройка шифрованного IPSEC туннеля во FreeBSD 6.2,Dorlas, 07:55 , 20-Мрт-07
        • Настройка шифрованного IPSEC туннеля во FreeBSD 6.2,lissyara, 08:31 , 20-Мрт-07
• Настройка шифрованного IPSEC туннеля во FreeBSD 6.2,Dorlas, 09:01 , 18-Мрт-07
  • Настройка шифрованного IPSEC туннеля во FreeBSD 6.2,lissyara, 11:48 , 18-Мрт-07
• Настройка шифрованного IPSEC туннеля во FreeBSD 6.2,Dorlas, 15:54 , 18-Мрт-07

Вот уж пишет по делу. Но не люблю я пересобирательства ядра - есть же sysctl.

> не люблю пересобирательства ядра ???

И как же вы, простите, изымаете из ядра ненужные устройства?
Например, драйвера отсутствующих в системе железок?

Поверхностно.

OpenVPN - более практичное решение.
Не надо ничего перекомпилять.

>OpenVPN - более практичное решение.

с цицкой/чекпойнтом тоже будем по openvpn вязать, да?

Глупости. Статья нормально написана - рабочее решение, не раз опробированное.

Вот только странно как то для автора использовать устаревший способ обновления /usr/ports - понятно, что Вы знаете о portsnap - но зачем детей то плохому учить?

Статья написана ненормально. Язык описания такой, как будто автор выполз из подворотни где тусился с остальными двоечниками. Процедура создания сертификатов ........ лучше промолчу.
Достаточно сказать, что на сайте Сгибнева Михаила создание ipsec туннеля с сертификатами описана гораздо лучше. Предлагаю сравнить с данной статьёй следующую http://dreamcatcher.ru/index.php?option=com_content&task=vie...

>Для примера, мы будем использовать фиктивные IP адреса 3.3.3.3 и 4.4.4.4 вместо "реальных" IP. Для наших туннельных оконечных точек, мы будем использовать 10.1.1.1 на машине 3.3.3.3 и 10.1.2.1 на машине 4.4.4.4.

и, далее -

>route add -net 172.16 -interface gif0

Тусил, тусил, но тока по молодости :)))
Не нравиться - напиши свою, где всё будет нравиться :)
==============
а про portsnap - чем мне исходники обновлять?
Если есть в системе csup - зачем мне ещё что-то? Но - каждый делает как нравиться.
=============
по Дримкетчеру - устарело. Поэтому и переписал.

>Тусил, тусил, но тока по молодости :)))
>Не нравиться - напиши свою, где всё будет нравиться :)
>==============
Язык IMHO не для статьи. Но если это Ваш уровень .......
>а про portsnap - чем мне исходники обновлять?
>Если есть в системе csup - зачем мне ещё что-то? Но -
>каждый делает как нравиться.
>=============
>по Дримкетчеру - устарело. Поэтому и переписал.
Что конкретно устарело?
Даже на заметку не тянет ;(

>>Тусил, тусил, но тока по молодости :)))
>>Не нравиться - напиши свою, где всё будет нравиться :)
>>==============
>Язык IMHO не для статьи. Но если это Ваш уровень .......
Мой, мой. Я не стесняюсь прошлого - и волосатыми шастали, и район на район ходили... :)
=======
Нормальный язык. Бывает и хуже. По делу там листинги - остальное - для их связки. Чем захотел тем и связал.
>>а про portsnap - чем мне исходники обновлять?
>>Если есть в системе csup - зачем мне ещё что-то? Но -
>>каждый делает как нравиться.
>>=============
>>по Дримкетчеру - устарело. Поэтому и переписал.
>Что конкретно устарело?
>Даже на заметку не тянет ;(
Зачем делать руками, если есть системные средства?
Я тоже писал скрипты, чтобы создавали гиф`ы, делали туннели.
Зачем? Можно всё в rc.conf прописать - этого и нету нигде, ради этого и писал.

Просто нужно периодически от релиза к релизу заглядывать в /etc/defaults/rc.conf и внимательно смотреть, какие новые возможности появились.

Сам IPSEC Вашим способом начал настраивать еще год назад - уже тогда все было. :)

про то и разговор, что никто не заглядывает...

Чем отличается Portsnap от cvsup Вы конечно знаете - рассказывать не буду!

Но, подумайте сами - 65-70 Мб, лежащих в /var/db/portsnap намного практичнее и экономичнее, чем 450-500 Мб, лежащих в /usr/ports.

Лично для себя я окончательно определился в бесполезности хранения /usr/ports на сервере - особенно, когда приходится часто делать полные dump-ы всех разделов - при выполнения dump на раздел /usr наличие на нем развернутого дерева /usr/ports замедляет выполнение dump-а в разы!!!

А так все просто:
mv /usr/ports/distfiles/* /usr/distfiles/
rm -rf /usr/ports
dump -a -L -f /backup/dump-usr /usr
dump -a -L -f /backup/dump/var /var
...
portsnap fetch && portsnap extract
ln -s /usr/distfiles /usr/ports/distfiles

Итог: Имеем образы всех разделов со всем нужной инфрормацией (в, том числе, снапшотом портов!)
И, при этом, dump-ы делаются за несколько минут, и разворачиваются тоже за несколько минут. А вот если у вас в dump-е раздела /usr находятся ports...медленно!!!

Надеюсь донес выгоду? :)

убить бы того кто придумал кнопку "очистить"... третий раз набираю, поэтому буду краток.
на большинстве серверов имею

mount_nfs -L x.x.x.x:/usr/ports /usr/ports &

Хорошо, когда в локалке все. У меня они по Инету раскиданы :(