FGHIGate на GaNJa NeTWoRK ST@Ti0N - Просмотр сообщения в эхоконференции RU.UNIX.BSD


	Добро пожаловать, Гость. Пожалуйста авторизуйтесь здесь.

Введите FGHI ссылку:

Присутствуют сообщения из эхоконференции RU.UNIX.BSD с датами от 18 Jan 11 22:51:00 до 16 Sep 24 17:28:15, всего сообщений: 10763

Ответить на сообщение

К списку сообщений

Предыдущее сообщение

Следующее сообщение

= Сообщение: 3333 из 10763 ===================================== RU.UNIX.BSD =
От   : Victor Sudakov                   2:5005/49          09 Aug 15 23:36:28
Кому : Eugene Grosbein                                     09 Aug 15 23:36:28
Тема : IPSec VPN
FGHI : area://RU.UNIX.BSD?msgid=2:5005/49+55c7918e
На   : area://RU.UNIX.BSD?msgid=grosbein.net+29c34661
= Кодировка сообщения определена как: CP866 ==================================
Ответ: area://RU.UNIX.BSD?msgid=2:469/83.1+55c7c74a
Ответ: area://RU.UNIX.BSD?msgid=grosbein.net+9d1555fb
==============================================================================
Dear Eugene,

09 Aug 15 22:23, you wrote to me:

VS>>>> Можно ли средствами FreeBSD+racoon сделать такой сабж, чтобы не
VS>>>> требовалось забивки статических правил в /etc/ipsec.conf? То
VS>>>> есть чтобы все, кто знает адрес VPN концентратора и некий
VS>>>> пароль или preshared key, могли присоединиться и получить
VS>>>> доступ в сеть? Клиенты - винды и другие фри.
EG>>> Вполне. Я вбиваю в /usr/local/etc/racoon/psk.txt пары "логин" и
EG>>> "пароль", по одной паре в строке, разделенные пробелами. В
EG>>> racoon есть лимит в 1000 символов на строку (или был в 0.7.3,
EG>>> когда я проверял в последний раз). В качестве "логина"
EG>>> используется настройка Local ID: User FQDN на стороне клиента, в
EG>>> качестве пароля PSK.
VS>> А если клиент (инициатор сабжа) - FreeBSD на динамическом адресе,
VS>> как быть? В ipsec.conf всё равно должен быть указан IP адрес
VS>> нашей стороны туннеля, а он динамический.

EG> При использовании динамических IP файл /etc/ipsec.conf вообще
EG> необязателен.

Поясни мысль, пожалуйста.

VS>> Можно конечно из mpd-шного "iface up-script" перестраивать
VS>> ipsec.conf и перезапускать ipsec, но может есть способ менее
VS>> дубовый? В серверной части я прописал "generate_policy unique;" в
VS>> racoon.conf и действительно SPD записи генерятся ракуном при
VS>> приходе клиента, а /etc/ipsec.conf пустой. За этот совет спасибо,
VS>> значительно облегчило жизнь.
EG>>> В клиентской настройке "Remote ID" ставится FQDN "hostname.ru"
VS>> Ты подразумеваешь под клиентом какой-то железный роутер, да?

EG> Да, в моём случае были разные D-Link.

VS>> А если это обычная фря?

EG> Тогда в racoon.conf вместо my_identifier address X.X.X.X
EG> пишем my_identifier fqdn string в секции remote 1.1.1.1 [500]

Это как раз понятно и не зависит от того, статический у нас внешний адрес или динамический.

А вот в каком месте на обычной фре мы определяем, что например на сеть 192.168.1.0/24 (в головной конторе) надо ходить IPSec-ом в туннельном режиме через 1.1.1.1?

Если ipsec.conf у нас нет, то откуда клиент будет вообще знать, что пакеты для 192.168.1.0/24 надо отправлять в IPSec? SPD записи для туннельного режима вообще-то содержат пару внутренних адресов (сетей) и пару наружных.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20110223-b20110223
* Origin: Ulthar (2:5005/49)

К главной странице гейта