Sunday August 09 2015 23:36, Victor Sudakov wrote to Eugene Grosbein:
VS> А вот в каком месте на обычной фре мы определяем, что например на сеть VS> 192.168.1.0/24 (в головной конторе) надо ходить IPSec-ом в туннельном VS> режиме через 1.1.1.1?
VS> Если ipsec.conf у нас нет, то откуда клиент будет вообще знать, что VS> пакеты для 192.168.1.0/24 надо отправлять в IPSec? SPD записи для VS> туннельного режима вообще-то содержат пару внутренних адресов (сетей) и VS> пару наружных.
вот spd-записи и определяют, что делать с пакетами. Если spd запись есть, а соответсвующей spa нет, то идет обращение к ракуну на установку соединения (чтоб создать spa), если есть spa - сразу используется. Hо создавать spd записи можно и ручками, из скриптов. По идее в road warrior режиме именно так и происходит.