Monday August 10 2015 09:10, Victor Sudakov wrote to Andrew Kant:
AK>>> Hо создавать spd записи можно и ручками, из скриптов. По AK>>> идее в road warrior режиме именно так и происходит.
VS>> Т.е. SPD записи надо создавать например из mpd-шного "iface VS>> up-script", как я и собирался делать ранее?
VS> Вот кстати спасибо за словосочетание road warrior. Hашел в VS> ipsec-tools-0.8.2/src/racoon/samples/roadwarrior/client примеры VS> формирования SPD из каких-то phase1-up.sh и phase1-down.sh скриптов. Hе VS> знаю для чего они, но в качестве основы для mpd up-script вполне VS> годятся.
Они для случая, когда у клиента динамические адреса и невозможно прописать ip в файлах конфигурации. Этот режим (клиентский) и называется road warrior. В конфигурации вместо конкретного ip пишется anonymous, в spd - 0.0.0.0/0 для клиента, порт esp, в итоге любые пришедшие пакеты попадут под полиси и активизируют фазу установления соединения, начинает работать isakmp-демон (например, ракун), и при успешном завершении фазы 1 срабатывают те самые скрипты. По крайней мере я так понимаю механику данного процесса :)