Monday August 10 2015 13:51, Victor Sudakov wrote to Andrew Kant:
VS> Термина road warrior применительно к сабжу я действительно не знал. Он VS> где/кем применяется? Тем кто его знает :) Это типовая конфигурация, когда клиент не имеет статического адреса. Конкретный частный случай, для которого кто-то придумал имя собственное, а оно прижилось.
AK>> В конфигурации вместо конкретного ip пишется anonymous, в spd - AK>> 0.0.0.0/0 для клиента, порт esp, в итоге любые пришедшие пакеты AK>> попадут под полиси и активизируют фазу установления соединения, AK>> начинает работать isakmp-демон (например, ракун), и при успешном AK>> завершении фазы 1 срабатывают те самые скрипты.
VS> В конкретно таком виде мне не надо. У меня default route смотрит к VS> провайдеру, а под полиси должны попасть только пакеты для внутренней VS> сети головной конторы. Так что up-script для mpd получился примерно VS> такой:
VS> ========================== cut here ============================= VS> #!/bin/sh
VS> echo " VS> spdflush ; � ^^^^^^^^ Вот про это не уверен, оно тебе похерит все предыдущие spd. Если это у тебя единственный ipsec-тунель, то не страшно, а если второй или n+1ый, то все остальные отвалятся. И лучше тогда spdflush не использовать, но прописывать в down-scripte очистку записей для закрываемого туннеля.
VS> spdadd 192.168.17.0/24 192.168.3.0/24 any VS> -P out ipsec esp/tunnel/${LOCAL}-${REMOTE}/unique ;
VS> [и т.д. и т.п.]
VS> spdadd 192.168.29.0/24 192.168.17.0/24 any VS> -P in ipsec esp/tunnel/${REMOTE}-${LOCAL}/unique ; VS> " | /sbin/setkey -c
VS> ========================== cut here =============================
VS> Это road warrior или нет? В смысле, тут нет перенаправления 0.0.0.0/0 в VS> IPSec. Hаверное в каком-то смысле да - я тоже не нашел четкого определения, а 0.0.0.0 - это уже детали реализации.
Hо идея та-же, а правильна-ли реализация - покажет практика. Я-бы делал также (с учетом замечания про spdflush).
