VS>> Можно ли средствами FreeBSD+racoon сделать такой сабж, чтобы не VS>> требовалось забивки статических правил в /etc/ipsec.conf? То есть VS>> чтобы все, кто знает адрес VPN концентратора и некий пароль или VS>> preshared key, могли присоединиться и получить доступ в сеть? VS>> Клиенты - винды и другие фри.
EG> Вполне. Я вбиваю в /usr/local/etc/racoon/psk.txt пары "логин" и EG> "пароль", по одной паре в строке, разделенные пробелами. В racoon есть EG> лимит в 1000 символов на строку (или был в 0.7.3, когда я проверял в EG> последний раз). В качестве "логина" используется настройка Local ID: EG> User FQDN на стороне клиента, в качестве пароля PSK.
А если клиент (инициатор сабжа) - FreeBSD на динамическом адресе, как быть? В ipsec.conf всё равно должен быть указан IP адрес нашей стороны туннеля, а он динамический.
Можно конечно из mpd-шного "iface up-script" перестраивать ipsec.conf и перезапускать ipsec, но может есть способ менее дубовый?
В серверной части я прописал "generate_policy unique;" в racoon.conf и действительно SPD записи генерятся ракуном при приходе клиента, а /etc/ipsec.conf пустой. За этот совет спасибо, значительно облегчило жизнь.
EG> В клиентской настройке "Remote ID" ставится FQDN "hostname.ru"
Ты подразумеваешь под клиентом какой-то железный роутер, да? А если это обычная фря?