[quote=Nick]Параметры задаются отдельно по адресу пира в racoon.conf. Параметры первой фазы задаются консолидированно, с перечислением всех вариантов. Мы такое делали. С роутингом тоже проблем нет.
[/quote]

Хм. Интересно, надо будет попробовать. Спасибо.

[quote=Nick]
Но если уж очень хочется, ставьте OpenSWAN, он вам будет создавать интерфейсы. На 2.6 работает.
[/quote]

Читал, но как-то не попробовал.. а надо было наверное, там действительно ipsecX создаются.

Параметры задаются отдельно по адресу пира в racoon.conf. Параметры первой фазы задаются консолидированно, с перечислением всех вариантов. Мы такое делали. С роутингом тоже проблем нет.

Но если уж очень хочется, ставьте OpenSWAN, он вам будет создавать интерфейсы. На 2.6 работает.

Зачем на tun и tap? Они совсем для другого.

Если речь о стандартном KAME-стэке из ядра 2.6, то можно добавить алиас на любой интерфейс.

Кстати, что делаете, тунельный режим или транспортный?

И еще: зачем 2 десятка? Почему бы им всем не работать с одним адресом?

А если это для Road Warriors, то им часто лучше делать L2TP-over-IPSec. Тогда на каждого будет PPP-интерфейс.

[quote=Nick]Зачем на tun и tap? Они совсем для другого.

Кстати, что делаете, тунельный режим или транспортный?
[/quote]

Туннель. На фре вроде как все просто у них GIF интерфейс есть, и народ через него работает, а тут я прям в тупике..

[quote=Nick]
И еще: зачем 2 десятка? Почему бы им всем не работать с одним адресом?
[/quote]

Не, как с одним адресом, если для каждого адреса туннеля разные параметры криптования, плюс с роутингом как? С одним точно не получится. Если я говорю, что адрес той стороны находится за вот этим туннельным адресом, то куда пойдет маршрут на второго? Нет, туннель он на то и туннель, чтобы иметь соединение тока-точка, а не точка-многоточка.

[quote=Nick]
А если это для Road Warriors, то им часто лучше делать L2TP-over-IPSec. Тогда на каждого будет PPP-интерфейс.
[/quote]

Нет, тут другие задачи, и параметры криптования заказывают встречные стороны.