> VS> Можно ли средствами FreeBSD+racoon сделать такой сабж, чтобы не > VS> требовалось забивки статических правил в /etc/ipsec.conf?
> да, racoon вообще для этого и придуман
Он придуман, чтобы не вбивать туда SAD entries (со статическими ключами), но насколько я понимаю, от вбивания SPD entries он не избавляет.
> VS> адрес VPN концентратора и некий пароль или preshared key, могли > VS> присоединиться VS> и получить доступ в сеть? Клиенты - винды и > VS> другие фри.
> обычно если доходит до ipsec, уже нужен не pre-shared key, а либо > radius auth, либо сертификаты, либо то и другое сразу.
Меня устроил бы и preshared key при соблюдении изложенных в письме условий.
Работать описанное будет. Сперва создаем gif туннели, потом шифруем весь трафик с протоколом ipencap. Я больше скажу, если нужно что-нибудь вроде OSPF на IPSec туннелях, то других вариантов и нет.
Если достаточно аналога статической маршрутизации, то можно делать и без gif, на одних только правилах в ipsec.conf.
> man racoon.conf, /EXAMPLES, первый же пример > "remote anonymous /sainfo anonymous" для понимания процедуры.
Вот тут ты IMHO ошибаешься. Описанного достаточно для наполнения базы SAD, но записи в базе SPD откуда возьмутся? А без записи в SPD ядро не отправит пакет на обработку IPSec-ом. Цитата с kame.net:
"So that the administrator must configure SPD entries by using setkey command, and must configure racoon. Also it must be required to run racoon or else on the other side. "
> для работы xauth, к сожалению, надо сильно потрахаться
> P.S. напоминаю что nat-t в фревом ипсеке давно и безнадежно сломан.
Hет необходимости.
-- Victor Sudakov, VAS4-RIPE, VAS47-RIPN 2:5005/49@fidonet http://vas.tomsk.ru/ --- ifmail v.2.15dev5.4 * Origin: AO "Svyaztransneft", SibPTUS (2:5020/400)