EG>>> При использовании динамических IP файл /etc/ipsec.conf вообще EG>>> необязателен. VS>> Поясни мысль, пожалуйста.
EG> Hу не в нём делаются настройки при использовании динамических адресов.
Не в нём, так в другом месте всё равно придется вызывать "echo spdadd | setkey", вот в чем вопрос был.
VS>> А вот в каком месте на обычной фре мы определяем, что например на VS>> сеть 192.168.1.0/24 (в головной конторе) надо ходить IPSec-ом в VS>> туннельном режиме через 1.1.1.1? Если ipsec.conf у нас нет, то VS>> откуда клиент будет вообще знать, что пакеты для 192.168.1.0/24 VS>> надо отправлять в IPSec? SPD записи для туннельного режима VS>> вообще-то содержат пару внутренних адресов (сетей) и пару VS>> наружных.
EG> Как уже сказали, это называется roadwarrior и по запросу EG> freebsd racoon roadwarrior client гугль четвертой ссылкой мне выдаёт EG> пример настройки racoon так, чтобы подключать/отключать VPN через EG> него можно было бы командой racoonctl vpn-connect/vpn-disconnect, EG> а уже эту команду - запускать из mpd-шного ip-up/ip-down:
Вот racoonctl представляется мне здесь совершенно лишней сущностью, если нужные SPD записи можно сформировать прямо из ip-up/ip-down.
А вот если нужно сделать несколько сабжей через разные VPN-концентраторы, или если надо VPN-ы запускать вручную, тогда "racoonctl vpn-connect/vpn-disconnect" вероятно и правда удобнее, потому что будут несколько разных секций remote в конфиге ракуна.