VS>> Термина road warrior применительно к сабжу я действительно не VS>> знал. Он где/кем применяется? AK> Тем кто его знает :) Это типовая конфигурация, когда клиент не имеет AK> статического адреса. Конкретный частный случай, для которого кто-то AK> придумал имя собственное, а оно прижилось.
Я с подобной конфигурацией ранее сталкивался только при настройке Cisco VPN клиента, термин road warrior в документации не встречался.
AK>>> В конфигурации вместо конкретного ip пишется anonymous, в spd - AK>>> 0.0.0.0/0 для клиента, порт esp, в итоге любые пришедшие пакеты AK>>> попадут под полиси и активизируют фазу установления соединения, AK>>> начинает работать isakmp-демон (например, ракун), и при успешном AK>>> завершении фазы 1 срабатывают те самые скрипты.
VS>> В конкретно таком виде мне не надо. У меня default route смотрит VS>> к провайдеру, а под полиси должны попасть только пакеты для VS>> внутренней сети головной конторы. Так что up-script для mpd VS>> получился примерно такой:
VS>> ========================== cut here ============================= VS>> #!/bin/sh
VS>> echo " VS>> spdflush ; AK> ^^^^^^^^ AK> Вот про это не уверен, оно тебе похерит все предыдущие spd.
Так и задумано, что если интерфейс к провайдеру флапнул, то туннели лучше пересоздать, потому что, мало ли, динамический IP поменялся. Но конечно YMMV.
AK> Если это у AK> тебя единственный ipsec-тунель, то не страшно, а если второй или AK> n+1ый, то все остальные отвалятся. И лучше тогда spdflush не AK> использовать, но прописывать в down-scripte очистку записей для AK> закрываемого туннеля.
А я и туда прописал "setkey -D" и "setkey -DP", чтобы наверняка.
[dd]
AK> Hо идея та-же, а правильна-ли реализация - покажет практика. Я-бы AK> делал также (с учетом замечания про spdflush).
А в примерах из ракуна скрипты (с setkey внутри) запускают через racoonctl, как мне Евгений в соседнем письма подсказал. Наверное это оправдано, если надо иметь несколько сабжей к разным VPN-концентраторам.