Статья по IPSEC

[zik]

Не бейте за детский вопрос
Ситуация такая: настроил тунель IPSEC , как описывается тут http://www.lissyara.su/?id=1328 . Интересует, как прикрутить к нему НАТ , чтоб каждая сеть ходила через свой шлюз - есть ли тут какие-то подводные камни с которыми придёться столкнуться ?

З.Ы. Настроить по статье не получилось, вот описание проблемы:
spdadd 217.15.62.49/32 217.15.62.200/32 ipencap -P out ipsec
esp/tunnel/217.15.62.49-217.15.62.200/require;
spdadd 217.15.62.200/32 217.15.62.49/32 ipencap -P in ipsec
esp/tunnel/217.15.62.200-217.15.62.49/require;

Вот этом конфиге пока в spadd не указал удреса сетей нихуа не зароботало, вот по какому принципу заработало:
spdadd 192.168.160.0/24 192.168.170.0/24 any -P out ipsec
esp/tunnel/217.15.62.49-217.15.62.200/require;
spdadd 192.168.170.0/24 192.168.160.0/24 any -P in ipsec
esp/tunnel/217.15.62.200-217.15.62.49/require;

Я незнаю - это баг или я просто плохо понял ...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zik]

И ещё вот это:
Почему после установки racoon и ipsec стало появляться при загрузке это собщение: "Starting divert daemons:Are you sure? [yn]" и пока не выберешь да или нет система грузиться не хочет ...

[Alex Keda]

И ещё вот это:
Почему после установки racoon и ipsec стало появляться при загрузке это собщение: "Starting divert daemons:Are you sure? [yn]" и пока не выберешь да или нет система грузиться не хочет ...

фигасе....
надо смотреть конфиг запуска natd - там наверняка объяснено зачем так....

[zik]

Так когда оно стало появляться я ещё не включал нат ...

[Alex Keda]

Код: Выделить всё

acer# pwd
/etc
acer# find . -exec grep -l "Are you sure" {} \;
acer#

думается - это не система...

[alex3]

а в ядре опция IPDIVERT есть?

[zik]

а в ядре опция IPDIVERT есть?

Нет, нету.

Это связано с правилами фаервола. Когда обнуляешь правила - то всё работает ! С чем это связано и как это исправить ?

[Гость]

Всё с тем разобрался - была обычная глупость, надо было у меня было так ipfw flush, а надо было так ipfw -f flush. Поэтому оно и выводило. Ещё такой вопрос: а как правильно настроить нат, когда на каждой машине имеется 3 сетевых:
1-ая смотрит в сеть
2-ая подключенна к первому провайдеру и по ней создаётся туннель между офисами
3-ая подключенная к второму провайдеру и через неё по нату ходят в нет .

Заранее спасибо !

[zik]

Ну что никто незнает как НАТ реализовать ? А то так я сделал у фирмы интернет перестал работать . Подскажите кто знает - буду очень благодарен !
З.Ы. Предыдущие сообщение было моё, если кто не понял

[pimlab]

Просветите пожалуста в чем разница использования в этом правиле ipencap или any, чтобы уяснить для себя что лучше ?

spdadd 10.0.0.0/8 192.168.1.0/24 any -P out ipsec
esp/tunnel/A.A.A.A-B.B.B.B/require;

spdadd 192.168.1.0/24 10.0.0.0/8 any -P in ipsec
esp/tunnel/B.B.B.B-A.A.A.A/require;

[Alex Keda]

непонял...

[pimlab]

Просветите пожалуста в чем разница использования в этом правиле ipencap или any, чтобы уяснить для себя что лучше ?

Код: Выделить всё

spdadd 10.0.0.0/8 192.168.1.0/24 any -P out ipsec
esp/tunnel/A.A.A.A-B.B.B.B/require;

spdadd 192.168.1.0/24 10.0.0.0/8 any -P in ipsec
esp/tunnel/B.B.B.B-A.A.A.A/require;

Просто ipencap что за протокол , что он делает ?
В handbook так :

Код: Выделить всё

 spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec
  esp/tunnel/A.B.C.D-W.X.Y.Z/require;
spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P in ipsec
  esp/tunnel/W.X.Y.Z-A.B.C.D/require;

У самого сечас тоже any стоит, но что если поменять на ipencap ?