- IPSEC без Racoona, Max, 20:42 , 04-Дек-06 (1)
- IPSEC без Racoona, Max, 22:33 , 05-Дек-06 (2)
- IPSEC без Racoona, yurkar, 12:32 , 06-Дек-06 (3)
>>>Возможно ли создать ВПН соединение без использования ракуна и прочих демонов VPN? >>>Интересует классический вариант ESP. >> >> >>ап >up А в чем проблема-то?
- IPSEC без Racoona, ipmanyak, 14:04 , 06-Дек-06 (4)
- IPSEC без Racoona, Max, 17:06 , 06-Дек-06 (6)
- IPSEC без Racoona, yurkar, 17:56 , 06-Дек-06 (7)
>>>Возможно ли создать ВПН соединение без использования ракуна и прочих демонов VPN? >>>Интересует классический вариант ESP. >>не проще кинуть простой туннель ip-ip ? Обязательно шифровать ? >>http://blog.kovyrin.net/2006/03/17/how-to-create-ip-ip-tunne.../ > >ip-ip туннель уже есть, но инкапсуляция не спасет от просмотра третьими лицами >передаваемых данных и встал вопрос в шифровании, нужно шифровать трафик без >ракуна, возможно ли это? Ага... Я понял тебя... Тогда все достаточно просто. Пишешь ipsec.conf слудующего содержания:
На шлюз1: flush; spdflush; add сеть1/24 сеть2/24 esp 1010 -E blowfish-cbc "yoursecretpassword"; add сеть2/24 сеть1/24 esp 1011 -E blowfish-cbc "yoursecretpassword"; add сеть1/24 сеть2/24 ah 1115 -A hmac-sha1 "yourverysecretpassword"; add сеть2/24 сеть1/24 ah 1116 -A hmac-sha1 "yourverysecretpassword"; spdadd сеть1/24 сеть2/24 any -P out ipsec esp/tunnel/айпи_шлюза1-айпи_шлюза2/require ah/tunnel/айпи_шлюза1-айпи_шлюза2/use; spdadd сеть2/24 сеть1/24 any -P in ipsec esp/tunnel/айпи_шлюза2-айпи_шлюза1/require ah/tunnel/айпи_шлюза2-айпи_шлюза1/use; На шлюз2 - vice versa с айпи - ну, ты понял, я думаю. А в rc.conf: ipsec_enable="YES" ipsec_file="/etc/ipsec.conf" #или где он там у тебя лежит. В ядре: option IPSEC option IPSEC_ESP option IPSEC_DEBUG Попробуй и отпишись о результате - должно такое работать по идее...
- IPSEC без Racoona, Max, 20:34 , 06-Дек-06 (8)
- IPSEC без Racoona, Skif, 02:25 , 07-Дек-06 (9)
- IPSEC без Racoona, Max, 16:28 , 07-Дек-06 (10)
- IPSEC без Racoona, yurkar, 17:07 , 07-Дек-06 (11)
Ну и отлично! Потом уже увидел, что я в приведенном мною конфиге в записях add попутал сети с реальными адресами... Спасибо, что проверил :) Только вот в политиках spdadd как правило сначала указывают туннель out, а уже потом in, но если работает - то енто мелочи.
|