= Сообщение: 3251 из 10763 ===================================== RU.UNIX.BSD = От : Victor Sudakov 2:5005/49.1 02 Jul 15 23:24:12 Кому : Eugene Grosbein 02 Jul 15 23:24:12 Тема : IPSec VPN FGHI : area://RU.UNIX.BSD?msgid=2:5005/49.1+55961202 На : area://RU.UNIX.BSD?msgid=2:5005/49.1+55956dc1 = Кодировка сообщения определена как: CP866 ================================== ============================================================================== Dear Eugene,
02 Jul 15 11:55, I wrote to you: VS>>>> А на клиенте таки должно быть что-то в /etc/ipsec.conf или VS>>>> аналоге? Иначе как он узнает, что вообще надо попробовать VS>>>> договориться о сабжемом соединении с сервером? Я конечно сейчас VS>>>> пойду пробовать в лабе, но хочется еще чуть больше ясности.
VS>> spdadd 10.246.38.0/24 10.0.0.0/24 any VS>> -P in ipsec esp/tunnel/my.ip.add.ress-192.168.1.12/unique VS>> ;
VS>> Так?
Видимо всё-таки не так.
VS> Не могу понять в примере, каким местом в данном примере блок sainfo VS> ссылается на блок remote, а ведь должен как-то ссылаться.
VS> В мане написано "For received acquires (kernel notices traffic VS> requiring a new SA) the remote IP and remoteid from matching sainfo VS> block are used to decide the remoteblock. If no uniquely matching VS> remote- block is found using these criteria, no connection attempt is VS> done."
Но в обоих случаях на клиенте вызывают setkey с командами spdadd из скрипта. Т.е. VPN клиент на одном лишь racoon.conf базу SPD наполнить не может, нужно что-то еще внешнее, чтобы SPD создался.
Собственно и в приведенной тобой ссылке написано "The Security Policy Database (SPD) needs to be configured so that FreeBSD and racoon are able to encrypt and decrypt network traffic between the hosts. This can be achieved with a shell script"
А вот на VPN gateway удалось обойтись совсем без spdadd, при пустом /etc/ipsec.conf всё работает: SPD entries создаются, когда клиенты VPN приходят.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN --- GoldED+/BSD 1.1.5-b20110223-b20110223 * Origin: Golden Bough (2:5005/49.1)