|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Leonid Ryzhyck 2:5030/207.1 25 Mar 2006 01:57:16
To : All
Subject : ipsec dumb question
--------------------------------------------------------------------------------
снимите с ручника :-)
есть сетка VPN /16, порезанная на /24 по разным площадкам.
вид с одной из площадок:
=== ipsec.conf
flush;
spdflush;
spdadd 192.168.3.0/24 192.168.0.0/16 any -P out ipsec
esp/tunnel/10.10.0.1-10.11.0.1/require;
spdadd 192.168.0.0/16 192.168.3.0/24 any -P in ipsec
esp/tunnel/10.11.0.1-10.10.0.1/require;
===
192.168.0.1 -- адрес центрального хаба для этих площадок. туда gif, все бегает,
все круто.
=== rc.conf
route_main="192.168.0.0/16 192.168.0.1"
static_routes="main"
====
цель: чтобы все площадки видели друг друга ( бегали пакеты ) через 192.168.0.1
проблема: на этой площадке клиентские машины сидят в сетке 192.168.3.0/24. они
могут обменятся пакетами с кем угодно в этой /16, кроме ... 192.168.3.1 (
собственно роутер на площадке ). понятно почему -- пакеты с роутера попадают в
ipsec и там и погибают :-)
ВОПРОС: можно ли как-нибудь оформить исключение для определенной сети?
spdadd 192.168.3.0/24 192.168.3.0/24 any -P out none;
spdadd 192.168.3.0/24 192.168.3.0/24 any -P in none;
перед правилами для /16
не помогло -- то есть машина в лок. сети начинает с роутера пинговатся, но вот
связь с центром падает.
есть ли варианты, кроме нудного перечисления всех сеток /24 в ipsec.conf?
сгенерировать такой файл проблем нет, но некрасиво :-)
чую, что очевидную вещь какую-то не вижу...
With best regards,
[lr@peterlink.ru//LR125-RIPE] Leonid.
ю Оно бесконечно и не может быть названо.
[Дао-Дэ-Цзин, 14]
--- GoldED+/W32 1.0.0
* Origin: Morrigan's Home * 01:00-08:00 MSK * (2:5030/207.1)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
ipsec dumb question |
Leonid Ryzhyck |
25 Mar 2006 01:57:16 |
|
|
