VS>>>> Можно ли средствами FreeBSD+racoon сделать такой сабж, чтобы не VS>>>> требовалось забивки статических правил в /etc/ipsec.conf? То VS>>>> есть чтобы все, кто знает адрес VPN концентратора и некий VS>>>> пароль или preshared key, могли присоединиться и получить VS>>>> доступ в сеть? Клиенты - винды и другие фри. EG>>> Вполне. Я вбиваю в /usr/local/etc/racoon/psk.txt пары "логин" и EG>>> "пароль", по одной паре в строке, разделенные пробелами. В EG>>> racoon есть лимит в 1000 символов на строку (или был в 0.7.3, EG>>> когда я проверял в последний раз). В качестве "логина" EG>>> используется настройка Local ID: User FQDN на стороне клиента, в EG>>> качестве пароля PSK. VS>> А если клиент (инициатор сабжа) - FreeBSD на динамическом адресе, VS>> как быть? В ipsec.conf всё равно должен быть указан IP адрес VS>> нашей стороны туннеля, а он динамический.
EG> При использовании динамических IP файл /etc/ipsec.conf вообще EG> необязателен.
Поясни мысль, пожалуйста.
VS>> Можно конечно из mpd-шного "iface up-script" перестраивать VS>> ipsec.conf и перезапускать ipsec, но может есть способ менее VS>> дубовый? В серверной части я прописал "generate_policy unique;" в VS>> racoon.conf и действительно SPD записи генерятся ракуном при VS>> приходе клиента, а /etc/ipsec.conf пустой. За этот совет спасибо, VS>> значительно облегчило жизнь. EG>>> В клиентской настройке "Remote ID" ставится FQDN "hostname.ru" VS>> Ты подразумеваешь под клиентом какой-то железный роутер, да?
EG> Да, в моём случае были разные D-Link.
VS>> А если это обычная фря?
EG> Тогда в racoon.conf вместо my_identifier address X.X.X.X EG> пишем my_identifier fqdn string в секции remote 1.1.1.1 [500]
Это как раз понятно и не зависит от того, статический у нас внешний адрес или динамический.
А вот в каком месте на обычной фре мы определяем, что например на сеть 192.168.1.0/24 (в головной конторе) надо ходить IPSec-ом в туннельном режиме через 1.1.1.1?
Если ipsec.conf у нас нет, то откуда клиент будет вообще знать, что пакеты для 192.168.1.0/24 надо отправлять в IPSec? SPD записи для туннельного режима вообще-то содержат пару внутренних адресов (сетей) и пару наружных.