VS>> Спасибо, кэп! :-) AK> Ты задаешь вопросы, которые не показывают точный уровень твоей AK> компетентности. То ты не знаешь, что такое road warrior и что можно AK> обойтись без ipsec.conf,
Термина road warrior применительно к сабжу я действительно не знал. Он где/кем применяется?
AK> В конфигурации вместо конкретного ip пишется anonymous, в spd - AK> 0.0.0.0/0 для клиента, порт esp, в итоге любые пришедшие пакеты AK> попадут под полиси и активизируют фазу установления соединения, AK> начинает работать isakmp-демон (например, ракун), и при успешном AK> завершении фазы 1 срабатывают те самые скрипты.
В конкретно таком виде мне не надо. У меня default route смотрит к провайдеру, а под полиси должны попасть только пакеты для внутренней сети головной конторы. Так что up-script для mpd получился примерно такой:
========================== cut here ============================= #!/bin/sh
echo " spdflush ; spdadd 192.168.17.0/24 192.168.3.0/24 any � -P out ipsec esp/tunnel/${LOCAL}-${REMOTE}/unique ;
[и т.д. и т.п.]
spdadd 192.168.29.0/24 192.168.17.0/24 any � -P in ipsec esp/tunnel/${REMOTE}-${LOCAL}/unique ; " | /sbin/setkey -c
========================== cut here =============================
Это road warrior или нет? В смысле, тут нет перенаправления 0.0.0.0/0 в IPSec.
AK> то обижаешься, когда я начинаю рассказывать AK> про spd. Hу извини :)
Так я же задаю вопросы не для оценки уровня моей компетентности, а для получения ответа на вполне конкретный вопрос. В данном случае мне было непонятен принцип, как в случае динамического адреса формировать SPD записи.
