VS>> А вот в каком месте на обычной фре мы определяем, что например на VS>> сеть 192.168.1.0/24 (в головной конторе) надо ходить IPSec-ом в VS>> туннельном режиме через 1.1.1.1?
VS>> Если ipsec.conf у нас нет, то откуда клиент будет вообще знать, VS>> что пакеты для 192.168.1.0/24 надо отправлять в IPSec? SPD записи VS>> для туннельного режима вообще-то содержат пару внутренних адресов VS>> (сетей) и пару наружных.
AK> вот spd-записи и определяют, что делать с пакетами. Если spd запись AK> есть, а соответсвующей spa нет, то идет обращение к ракуну на AK> установку соединения (чтоб создать spa), если есть spa - сразу AK> используется.
Duh!
AK> Hо создавать spd записи можно и ручками, из скриптов. По AK> идее в road warrior режиме именно так и происходит.
Т.е. SPD записи надо создавать например из mpd-шного "iface up-script", как я и собирался делать ранее?