VS>> Можно ли средствами FreeBSD+racoon сделать такой сабж, чтобы не VS>> требовалось забивки статических правил в /etc/ipsec.conf? То есть VS>> чтобы все, кто знает адрес VPN концентратора и некий пароль или VS>> preshared key, могли присоединиться и получить доступ в сеть? VS>> Клиенты - винды и другие фри.
EG> Вполне. Я вбиваю в /usr/local/etc/racoon/psk.txt пары "логин" и EG> "пароль", по одной паре в строке, разделенные пробелами. В racoon есть EG> лимит в 1000 символов на строку (или был в 0.7.3, когда я проверял в EG> последний раз). В качестве "логина" используется настройка Local ID: EG> User FQDN на стороне клиента, в качестве пароля PSK.
У меня в качестве "логина" IP адрес удаленной стороны, это же не помешает использовать generate_policy?
Вообще спасибо тебе за примеры конфигов, я близок к просветлению, но не хватает какого-то удара палкой или между лопаток. На стороне VPN концентратора (сервера) у тебя /etc/ipsec.conf пустой, а база SPD наполняется ракуном с помощью generate_policy?
А на клиенте таки должно быть что-то в /etc/ipsec.conf или аналоге? Иначе как он узнает, что вообще надо попробовать договориться о сабжемом соединении с сервером?
Я конечно сейчас пойду пробовать в лабе, но хочется еще чуть больше ясности.
EG> Конфиг не блещет стойкостью криптографии, потому как заточен EG> под D-Link DI-804HV и подобные огрызки, но рабочий. EG> В клиентской настройке "Remote ID" ставится FQDN "hostname.ru" EG> Все полиси генерирует сам ракун (generate_policy unique).
А еще что ставится в клиентской настройке? Если бы предположить что клиент тоже FreeBSD, что ты написал бы в конфигах клиента?
Victor Sudakov, VAS4-RIPE, VAS47-RIPN --- GoldED+/BSD 1.1.5-b20110223-b20110223 * Origin: Golden Bough (2:5005/49.1)