Конфиг racoon

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
vince
проходил мимо
Сообщения: 1
Зарегистрирован: 2017-11-08 9:51:26

Конфиг racoon

Непрочитанное сообщение vince » 2017-11-09 13:19:05

Привет всем.

Подскажите, можно ли в конфиге racoon (racoon.conf) в директиве listen указать два isakmp? Если да то как?
Можно ли слушать два интерфейса?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Demis
прапорщик
Сообщения: 496
Зарегистрирован: 2015-05-25 14:36:32

Конфиг racoon

Непрочитанное сообщение Demis » 2017-11-13 18:47:08

Честно говоря (для разных интерфейсов) на первом ракуне - не знаю.
Не стояло задачи.

Но, на втором ракуне (racoon2) делал несколько точек к одной.
Думаю по такому-же алгоритму можно и несколько интерфейсов завести.

Основных (стратегических) моментов было несколько.
Это прописка еще одной допсекции с директивой "remote".
Т.е. условно "remote ike_MyHost1", "remote ike_MyHost2" и т.д. отличие внутри секции только в IP и ключах psk, а так-же свои "selector" и свои "policy". Плюс в ee /etc/ipsec.conf вставляем:

Код: Выделить всё

spdadd IP_Central/32 IP_Remote1/32 ipencap -P out ipsec esp/tunnel/IP_Central-IP_Remote1/unique;
spdadd IP_Remote1/32 IP_Central/32 ipencap -P in ipsec esp/tunnel/IP_Remote1-IP_Central/unique;
spdadd IP_Central/32 IP_Remote2/32 ipencap -P out ipsec esp/tunnel/IP_Central-IP_Remote2/unique;
spdadd IP_Remote2/32 IP_Central/32 ipencap -P in ipsec esp/tunnel/IP_Remote2-IP_Central/unique;
На самом деле на центральной машине четыре интерфейса, но мне нужно было только с одним работать.

Отправлено спустя 1 час 45 минут 59 секунд:
Опять-же, в конфиге второго ракуна есть такое:

Код: Выделить всё

interface
{
        ike {
                192.168.20.10 port 500; # My external IP (incoming socket!)
                };
};
Который наверняка можно сделать как:

Код: Выделить всё

interface
{
        ike {
                192.168.20.10 port 500; # My external IP 1 (incoming socket!)
                192.168.30.10 port 500; # My external IP 2 (incoming socket!)
                192.168.40.10 port 500; # My external IP 3 (incoming socket!)
                };
};
Что-то похожее нужно посмотреть и в первом.