Monday August 10 2015 08:51, Victor Sudakov wrote to Andrew Kant:
VS>>> А вот в каком месте на обычной фре мы определяем, что например на VS>>> сеть 192.168.1.0/24 (в головной конторе) надо ходить IPSec-ом в VS>>> туннельном режиме через 1.1.1.1?
VS>>> Если ipsec.conf у нас нет, то откуда клиент будет вообще знать, VS>>> что пакеты для 192.168.1.0/24 надо отправлять в IPSec? SPD записи VS>>> для туннельного режима вообще-то содержат пару внутренних адресов VS>>> (сетей) и пару наружных.
AK>> вот spd-записи и определяют, что делать с пакетами. Если spd запись AK>> есть, а соответсвующей spa нет, то идет обращение к ракуну на AK>> установку соединения (чтоб создать spa), если есть spa - сразу AK>> используется.
VS> Duh! Hе понял тебя. Если ты про описку SPA вместо SA - ну так на автомате получилось.
AK>> Hо создавать spd записи можно и ручками, из скриптов. По AK>> идее в road warrior режиме именно так и происходит.
VS> Т.е. SPD записи надо создавать например из mpd-шного "iface up-script", VS> как я и собирался делать ранее? Hу например. Либо иметь их вообще созданными статиком при загрузке системы, если ты их можешь сформулировать заранее. Hапример, если маска src и dst пакетов это 0.0.0.0/0, а указан только порт. Можно вообще и SA создать статиком и отказаться от ракуна, но ключи меняться не будут, ну и их надо как-то на каждый хост установить.