- Как работает IPSec?, open, 14:36 , 02-Сен-03 (1)
- Как работает IPSec?, antons, 09:48 , 09-Сен-03 (2)
>Привет всем! Такое дело, у нас между двумя офисами работает VPN + >IPSec, и с той и с другой стороны стоит freebsd 4.6, >в каждом компе 2 сетевые с адресами 1-й - 192.168.100.37 смотрит >в локалку 192.168.100/24 и 192.168.10.1 смотрит на другой сервер, 2-й - >192.168.1.83 смотрит в локалку 192.168.1/24 и 192.168.10.2 смотрит на 1-й сервер. >Все сделал как в многочисленных доках писано, поднял racoon, обменялись серваки >ключами, все работает. >ipsec.rules: >spdadd 192.168.10.1 0.0.0.0/0 any -P out ipsec >esp/tunnel/192.168.10.1-192.168.10.2/require; >spdadd 0.0.0.0/0 192.168.10.1 any -P in ipsec >esp/tunnel/192.168.10.2-192.168.10.1/require; >Пингую с 1-го сервака 2-й сервак, на втором смотрю что tcpdump показывает >запрос-ответ и в каждой строчке присутствует ESP, т.е. шифрование идет. Это >между серваками. >Теперь другое: пингую с компа из сети 192.168.100/24 комп из сети 192.168.1/24 >и tcpdump показывает запрос-ответ без этого ESP. >А собственно идет ли в этом случае шифрование? >И еще: какой интервал времени посоветуете между обменом ключами для IPSec в >моем случае (сейчас 1 мин.)? Спасибо. Ты написал, что хочешь шифровать пакеты, которые летят от ХОСТА 192.168.10.1 куда угодно через туннель 192.168.10.1-192.168.10.2 и расшифровывать пакеты которые летят откуда угодно к хосту 192.168.10.1 через туннель 192.168.10.2-192.168.10.1. Если тебе нужно шифровать пакеты между сетями, то ты и должен указывать эти сети, т.е. spdadd 192.168.100.0/24 192.168.1.0/24 any -P out ipsec esp/tunnel/192.168.10.1-192.168.10.2/require; spdadd 192.168.1.0/24 192.168.100.0/24 any -P in ipsec esp/tunnel/192.168.10.2-192.168.10.1/require; после чего заворачиваешь траффик в туннель.
|