VS>>> Можно ли средствами FreeBSD+racoon сделать такой сабж, чтобы не VS>>> требовалось забивки статических правил в /etc/ipsec.conf? То есть VS>>> чтобы все, кто знает адрес VPN концентратора и некий пароль или VS>>> preshared key, могли присоединиться и получить доступ в сеть? VS>>> Клиенты - винды и другие фри. EG>> Вполне. Я вбиваю в /usr/local/etc/racoon/psk.txt пары "логин" и EG>> "пароль", по одной паре в строке, разделенные пробелами. В racoon есть EG>> лимит в 1000 символов на строку (или был в 0.7.3, когда я проверял в EG>> последний раз). В качестве "логина" используется настройка Local ID: EG>> User FQDN на стороне клиента, в качестве пароля PSK. VS> А если клиент (инициатор сабжа) - FreeBSD на динамическом адресе, как быть? В VS> ipsec.conf всё равно должен быть указан IP адрес нашей стороны туннеля, а он VS> динамический.
При использовании динамических IP файл /etc/ipsec.conf вообще необязателен.
VS> Можно конечно из mpd-шного "iface up-script" перестраивать ipsec.conf и VS> перезапускать ipsec, но может есть способ менее дубовый? VS> В серверной части я прописал "generate_policy unique;" в racoon.conf и VS> действительно SPD записи генерятся ракуном при приходе клиента, а VS> /etc/ipsec.conf пустой. За этот совет спасибо, значительно облегчило жизнь. EG>> В клиентской настройке "Remote ID" ставится FQDN "hostname.ru" VS> Ты подразумеваешь под клиентом какой-то железный роутер, да?
Да, в моём случае были разные D-Link.
VS> А если это обычная фря?
Тогда в racoon.conf вместо my_identifier address X.X.X.X пишем my_identifier fqdn string в секции remote 1.1.1.1 [500]
Eugene -- В России каждый третий болеет СПИДом. Его зрачки расширены, веки красные, и его всегда начинает ломать. --- slrn/1.0.1 (FreeBSD) * Origin: RDTC JSC (2:5006/1@fidonet)