Добро пожаловать, Гость. Пожалуйста авторизуйтесь здесь.
FGHIGate на GaNJa NeTWoRK ST@Ti0N - Просмотр сообщения в эхоконференции RU.UNIX.BSD
Введите FGHI ссылку:


Присутствуют сообщения из эхоконференции RU.UNIX.BSD с датами от 18 Jan 11 22:51:00 до 16 Sep 24 17:28:15, всего сообщений: 10763
Ответить на сообщение К списку сообщений Предыдущее сообщение Следующее сообщение
= Сообщение: 3247 из 10763 ===================================== RU.UNIX.BSD =
От   : Eugene Grosbein                  2:5006/1           02 Jul 15 19:18:12
Кому : Victor Sudakov                                      02 Jul 15 19:18:12
Тема : Re: IPSec VPN
FGHI : area://RU.UNIX.BSD?msgid=grosbein.net+7da0b85b
На   : area://RU.UNIX.BSD?msgid=2:5005/49.1+55950f8a
= Кодировка сообщения определена как: CP866 ==================================
Ответ: area://RU.UNIX.BSD?msgid=2:5005/49.1+559545b6
==============================================================================
02 июл 2015, четверг, в 04:10 NOVT, Victor Sudakov написал(а):

VS> У меня в качестве "логина" IP адрес удаленной стороны, это же не помешает
 VS> использовать generate_policy?

Я не пробовал, но проблем быть не должно.

А зачем IP-адрес? Он может меняться, лучше произвольную строчку,
ей необязательно иметь отношение к DNS и тип "FQDN" идеален для неё.

VS> Вообще спасибо тебе за примеры конфигов, я близок к просветлению, но не хватает
 VS> какого-то удара палкой или между лопаток. Hа стороне VPN концентратора (сервера)
 VS> у тебя /etc/ipsec.conf пустой, а база SPD наполняется ракуном с помощью
 VS> generate_policy?

Да. Hу, на самом деле у меня одновременно с динамическими туннелями
ещё есть и туннели на статических ключах, так вот они живут
в /etc/ipsec.conf и существуют параллельно с ракуном. В /etc/ipsec.conf
нет ничего, касающегося туннелей ракуна.

VS> А на клиенте таки должно быть что-то в /etc/ipsec.conf или аналоге? Иначе как
 VS> он узнает, что вообще надо попробовать договориться о сабжемом соединении с
 VS> сервером?
 VS> Я конечно сейчас пойду пробовать в лабе, но хочется еще чуть больше ясности.

См. remote  192.168.1.12 в https://www.freebsd.org/doc/handbook/ipsec.html

EG>> Конфиг не блещет стойкостью криптографии, потому как заточен
 EG>> под D-Link DI-804HV и подобные огрызки, но рабочий.
 EG>> В клиентской настройке "Remote ID" ставится FQDN "hostname.ru"
 EG>> Все полиси генерирует сам ракун (generate_policy unique).
 VS> А еще что ставится в клиентской настройке? Если бы предположить что клиент тоже
 VS> FreeBSD, что ты написал бы в конфигах клиента?

В Handbook нынче примеры как раз с ракуном, а не на статических
ключах, как раньше, так что можешь брать оттуда.

Eugene
--- slrn/1.0.1 (FreeBSD)
* Origin: RDTC JSC (2:5006/1@fidonet)

К главной странице гейта
Powered by NoSFeRaTU`s FGHIGate
Открытие страницы: 0.128316 секунды