маршрутизация между двумя freebsd7.3 через gif0

[anotherone]

да но а как быть с racoon.conf?
там же настройки для 172.16.1.2
это в этом же конфиге нада как то писать и для 172.16.1.4?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[snorlov]

да но а как быть с racoon.conf?
там же настройки для 172.16.1.2
это в этом же конфиге нада как то писать и для 172.16.1.4?

Но там же нет парольной фразы, ты же ее указываешь в файле через path pre_shared_key ...
Конкретные секции под ip нужны только в случае, если у тебя разные алгоритмы шифрования и целостности пакетов конкретных тоннелей(например ходишь к 2-м железкам несовместимым с друг другом), если ты используешь все одинаково, то замени ip на anonymous...

[anotherone]

хм
т.е. я прально понимаю, что если на 172.168.1.1 поменять racoon.conf настройки на anonymous вместо IP тогда два этих айпишника будут работать по l2tp и нужно будет в psk.txt только добавить парольную фразу для 172.16.1.4? а настройки racoon.conf сделать аналогичными как на 172.16.1.2 для 172.16.1.4
прально?

[snorlov]

хм
т.е. я прально понимаю, что если на 172.168.1.1 поменять racoon.conf настройки на anonymous вместо IP тогда два этих айпишника будут работать по l2tp и нужно будет в psk.txt только добавить парольную фразу для 172.16.1.4? а настройки racoon.conf сделать аналогичными как на 172.16.1.2 для 172.16.1.4
прально?

Какое L2tp?.... разговор же с самого начала идет про IPSEC, так там парольная фраза только для начальной фазы шифрования....
Файл с паролями и доступом 0600 будет выглядеть так
для 172.16.1.1
172.16.1.2 пароль1
172.16.1.3 пароль2
для 172.16.1.2
172.16.1.1 пароль1
172.16.1.3 пароль3
для 172.16.1.3
172.16.1.1 пароль2
172.16.1.2 пароль3

[anotherone]

блина
меня прост под конец рабочего дня кроет
думаю об одном пишу про другое
конечно же IPSEC а не L2TP
только не пойму, для 172.16.1.3 (он же 172.16.1.1)зачем писать:
172.16.1.1 пароль2
172.16.1.2 пароль3
ведь это один и тот же файл (psk.key)

схема http://imagepost.ru/?v=f4s.jpg

и не понятно, нужно ли вместо IP в /usr/local/etc/racoon/racoon.conf писать anonymous во всех конфигах или только на 172.16.1.1 (он же 172.16.1.3)?
и почему об этом я не нашел упоминания в самом еноте?
всмысле где почитать об этом что так можно делать?

[snorlov]

блина
меня прост под конец рабочего дня кроет
думаю об одном пишу про другое
конечно же IPSEC а не L2TP
только не пойму, для 172.16.1.3 (он же 172.16.1.1)зачем писать:
172.16.1.1 пароль2
172.16.1.2 пароль3
ведь это один и тот же файл (psk.key)

Вниметельнее смотри 1-2, 2-3,1-3

схема http://imagepost.ru/?v=f4s.jpg
и не понятно, нужно ли вместо IP в /usr/local/etc/racoon/racoon.conf писать anonymous во всех конфигах или только на 172.16.1.1 (он же 172.16.1.3)?
и почему об этом я не нашел упоминания в самом еноте?
всмысле где почитать об этом что так можно делать?

Anonymous писать можно везде, вот только зачем тебе 2-е сетевые карты в 172.16.1.1, оставь одну и поставь хаб или все же тебе принципиально надо их, то у меня вопрос, а зачем такой гемор...

[anotherone]

для 172.16.1.1
172.16.1.2 пароль1
172.16.1.3 пароль2
для 172.16.1.2
172.16.1.1 пароль1
172.16.1.3 пароль3
для 172.16.1.3
172.16.1.1 пароль2
172.16.1.2 пароль3

выделенным показан один комп с двумя интерфесками из одной сети, но от разных провайдеров, сталобыть с 1 файлом psk.key
про вопрос с 2мя сетевыми я вообще не понял, и причем тут хаб?
мало того хабы уже тыщу лет не продаются
вот еще раз схема с интерфесами http://imagepost.ru/?v=f5d_1.jpg

[snorlov]

Молодой человек, вы бы картинку, соответсвующую действительности, показали бы. В общем я правильно пониманию: у вас 3-и офиса(раньше было 2-а), в 2-х офисах имеется по одному каналу в инет, а в первом у вас каналов в инет два? Или я что-то путаю....

[anotherone]

точно! сорри нада было сразу нарисовать
вот то что сейчас http://imagepost.ru/?v=f7f.jpg (3 офиса)
в 2ух офисах своего инета нет вообще, весь инет берется по впну из головного офиса (шлюз с сетью 192.168.31.0/24)

[snorlov]

Дык, каналы связи офисов с основным офисом ваши или предоставляются оператором, неподконтрольным вам? Если это ваша собственность то это одно, если чужая то это другое...
Вы хотите поставить вместо связки ISA 2006-vpn2-win2k8r2 связку freebsd(сеть .34.)-vpn2-freebsd(сеть .31.)?

[anotherone]

каналы связи с офисом не наши, за них платится аренда, но по сути это прямое соединение так вот хочу сделать вот так http://imagepost.ru/?v=f5d_1.jpg
чтобы все филиалы по впн были подключены к одному шлюзу.
но в ракуне я не пойму возможны ли настройки двух впнов как то вписать
документации нихрена найти не могу
т.е. даже если настроить маршрутизацию, что я впринципе представляю как сделать
то какие настройки в ракуне делать я не понимаю, потому что нет соответствующих книг

[snorlov]

Racoon это всего лишь шифрователь трафика между двумя компами, вы его политиками можете настроить, что он будет шифровать весь трафик, а можете заствить его шифровать например пакеты, которые бегают между 25-ми tcp-ными портами, к примеру. Вы для начала, настройте тоннели, маршрутизацию, и лишь затем начинайте их шифровать

[anotherone]

маршрутизация настроена трафик во все сети ходит
сейчас в
racoon.conf секция remote anonymous стоят значения такие для my_identifier address 172.16.1.1;
peers_identifier address 172.16.1.2;
меня интересует вопрос, как сделать чтобы шифрование было еще и сети 172.16.5.0? т.е. вписать значение еще раз для peers_identifier address 172.16.1.2; или как?

Код: Выделить всё

remote  anonymous
{
       exchange_mode   main,aggressive;
       doi             ipsec_doi;
       situation       identity_only;
       my_identifier   address 172.16.1.1;
       peers_identifier        address 172.16.1.2;
       lifetime        time 8 hour;
       passive         off;
       proposal_check  obey;
#       nat_traversal   off;
       generate_policy off;

                       proposal {
                               encryption_algorithm    blowfish;
                               hash_algorithm          md5;
                               authentication_method   pre_shared_key;
                               lifetime time           30 sec;
                               dh_group                1;
                       }
}

[snorlov]

Вообще убери

Код: Выделить всё

peers_identifier        address 172.16.1.2;