|
|
ru.unix.bsd- RU.UNIX.BSD ------------------------------------------------------------------ From : Eugene M. Zheganin 2:5054/79.2 16 Jul 2003 18:33:14 To : Vadym Fedchuk Subject : тунель -------------------------------------------------------------------------------- 16 Jul 03 в 11:53, Vadym Fedchuk -=> Vadym Fedchuk о "Re: тунель": [...] VF> #Шифрование между узлами VF> echo "add $HOST $REMOTE_HOST esp 1000 -m transport VF> -E 3des-cbc \"$PASSWORD\";" | setkey -c VF> echo "add $REMOTE_HOST $HOST esp 1000 -m transport VF> -E 3des-cbc \"$PASSWORD\";" | setkey -c VF> echo "spdadd $HOST $REMOTE_HOST any -P out ipsec VF> esp/transport//require;" VF> | setkey -c VF> echo "spdadd $REMOTE_HOST $HOST any -P in ipsec VF> esp/transport//require;" VF> | setkey -c Можно чуть более красиво- запихать все в текстовый файл, и потом его setkey -c один раз подсовывать. А файл положить в /etc и по-модному назвать ipsec.conf. VF> #тунель VF> ifconfig gif0 create inet $LOCAL $REMOTE_LOCAL tunnel $HOST VF> $REMOTE_HOST up #маршрут route add $REMOTE_NET -netmask $REMOTE_MASK VF> $REMOTE_LOCAL VF> У меня это вроде работает и tcpdump потверждает мои подозрения. VF> Если у кого есть коментарии по изложеному я их с удовольствием VF> выслушаю В твоем случае имеем ненужный оверхэд. Если не напрягает- забей. Hо вообще- можно обойтись одним IPSEC. Как раз для таких случаев Оккам придумал бритву. VF> Из ответов я не совсем понял что такое racoon и для чего он нужен VF> и по ходу возник интересный вопрос как можно подружить ipsec на VF> FreeBSD со службой ipsec в винде 2000/XP -E 3des-cbc \"$PASSWORD\" - это статический ключ у SA. Он не меняется, верно ? Вот для того, чтобы периодически его менять и нужен racoon. Два таких демона на концах туннеля периодически обмениваются новыми ключами и устанавливают новые SA, исходя из SP. Для чего менять ? Hу это как рутовый пароль, который на сервере два года не меняется и потом становится всем известным. В общем тут каждый сам решает... Только тут появляется другая шиза... Все секьюрно, но раз в два месяца кто-нить из ракунов падает с "fail to realocate bufer to dump" и раз в две недели у меня один из трех концов туннеля падает, причем один и тот же, гад. С "give up due to timeout to wait". Или что-то в этом роде. и лекарства я пока не нашел. поразительно, но другая пара хостов с такими же конфигами стоит и работает месяцами... Пару раз в эху я писал, из лечения- только бубны- играть с временем жизни ключей или версиями ракунов. Hа этом остаюсь искренне Ваш, Евгений. --- GoldED+/BSD 1.1.4.7 * Origin: ----> Default GoldED Origin <---- (2:5054/79.2) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
Архивное /ru.unix.bsd/28173f154833.html, оценка из 5, голосов 10
|