zyxel zywall 5 + freebsd vpn...

[мимоходящий]

добрый день. нужно сделать сабж. поиски по сети дали мало, но на страничке одного финна нашел инструкцию: http://netti.nic.fi/~timnis/linux/VPN_Z ... racoon.txt
инструкция в том виде, в котором есть, заработала:

Код: Выделить всё

Zywall 5 UTM (firmware V4.02(XD.1))
=====================================================

VPN Gateway Policy
	Authentication Key
		Pre-Shared Key	 		the key
		Local ID Type 			IP
		Content				111.222.333.444
		Peer ID Type			E-Mail
		Content				vpn@domain.com
	
	IKE Proposal
		Negotiation Mode		Main
		Encryption Algorithm		3DES
		Authentication Algorithm	SHA1
		SA Life Time (Seconds)		28800
		Key Group			DH1

VPN Network Policy
	Local Network
		Address Type			Subnet Address
		Starting IP Address		10.10.10.0
		Ending IP Address / Subnet Mask	255.255.255.0
		Local Port			Start 0, End 0
	
	Remote Network
		Address Type			Single Address
		Starting IP Address		0.0.0.0
		Ending IP Address / Subnet Mask	
		Remote Port			Start 0, End 0	
	
	IPSec Proposa
		Encapsulation Model		Tunnel
		Active Protocol			ESP
		Encryption Algorithm		3DES
		Authentication Algorithm	SHA1
		SA Life Time (Seconds)		28800
		Perfect Forward Secrecy (PFS)	DH2
		[X] Enable Replay Detection 





Gentoo
=====================================================
1. emerge net-firewall/ipsec-tools (my version is 0.6.7)

2. edit /etc/conf.d/racoon as below
	RACOON_CONF="/etc/racoon/racoon.conf"
	RACOON_PSK_FILE="/etc/racoon/psk.txt"
	SETKEY_CONF="/etc/racoon/setkey.conf"

3. create /etc/racoon/racoon.conf and put following lines:
	path pre_shared_key "/etc/racoon/psk.txt";
	
	remote 111.222.333.444 {
		exchange_mode main;
		my_identifier user_fqdn "vpn@domain.com";
		proposal {
			encryption_algorithm 3des;
			hash_algorithm sha1;
			authentication_method pre_shared_key;
			dh_group 1;
		}
	}
	
	sainfo address 192.168.0.2 any address 10.10.10.0/24 any
	{
		pfs_group 2;
		encryption_algorithm 3des;
		authentication_algorithm hmac_sha1;
		compression_algorithm deflate;
	}

4. create /etc/racoon/psk.txt and put following lines:
	# Zywall 5 (public IP)
	111.222.333.444		the key

5. create /etc/racoon/setkey.conf and put following lines:
	flush;
	spdflush;
	
	spdadd 192.168.0.2 10.10.10.0/24 any -P out ipsec
		esp/tunnel/192.168.0.2-111.222.333.444/require;
	
	spdadd 10.10.10.0/24 192.168.0.2 any -P in ipsec
		esp/tunnel/111.222.333.444-192.168.0.2/require;

6. start racoon
	/etc/init.d/racoon start

7. ping host on remote site
	ping 10.10.10.10


Timnis 11.08.2007
 

но ввела меня в ступор следующими рекомендациями

Код: Выделить всё

	spdadd 192.168.0.2 10.10.10.0/24 any -P out ipsec
		esp/tunnel/192.168.0.2-111.222.333.444/require;
	
	spdadd 10.10.10.0/24 192.168.0.2 any -P in ipsec
		esp/tunnel/111.222.333.444-192.168.0.2/require;

что это за vpn нетрадиционной ориентации?!
сейчас наощупь пытаюсь ее варьировать, но очень хочется понять, что это за правила такие для ipsec, и как это соотносится с хандбуками(и с русским, и с английским - он вроде посвежее будет)
да, и -

Код: Выделить всё

uname -a
FreeBSD myhost.mydomain.ru 7.1-RELEASE FreeBSD 7.1-RELEASE #1: Wed Mar 25 12:33:20 MSK 2009  amd64

вот такие пироги...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

как успехи?

[мимоходящий]

ну, vpn встает, но только для одного адреса - не для подсети, но почему так и почему он вообще встает так странно - не постигаю!
есть тут спецы по гетерогенным vpn?