edge: IPSec

5 сообщений / 0 new
Последнее сообщение
Гость
edge: IPSec

Привет всем.

Кто-нить настраивал IPSec (Racoon)? Интересует на каком интерфейсе поднимается адрес туннеля? Пробовал туннельный IP и на tun0 и на tap0 поднимать, туннель вроде поднимается, но пакеты через туннель не ходят, подозреваю, что там уже присутсвует какая-то инкапсуляция, потому и не стреляет. Ip forward включен. В системе 1 eth интерфейс. Если навешиваю альясом на eth0:1 туннельный IP 192.168.0.1, то туннель поднимается, все работает, но так вроде некрасиво и с iptables проблемы начинаются. Хотелось бы поднять какой-то виртуальный интерфейс по типу loopbackX в Cisco, и рулить уже на нем. В инете все ссылаются на конфигурацию из 2 интерфейсов, локального и внешнего. Тут все понятно. Но в моем случае придется поднимать десятка 2 туннелей, и вешать их все на внешний интерфейс не хочется.. Мысли есть?

edge (не проверено)

[quote=Nick]Параметры задаются отдельно по адресу пира в racoon.conf. Параметры первой фазы задаются консолидированно, с перечислением всех вариантов. Мы такое делали. С роутингом тоже проблем нет.
[/quote]

Хм. Интересно, надо будет попробовать. Спасибо.

[quote=Nick]
Но если уж очень хочется, ставьте OpenSWAN, он вам будет создавать интерфейсы. На 2.6 работает.
[/quote]

Читал, но как-то не попробовал.. а надо было наверное, там действительно ipsecX создаются.

Nick
Не в сети
Зарегистрирован: 20/09/2010

Параметры задаются отдельно по адресу пира в racoon.conf. Параметры первой фазы задаются консолидированно, с перечислением всех вариантов. Мы такое делали. С роутингом тоже проблем нет.

Но если уж очень хочется, ставьте OpenSWAN, он вам будет создавать интерфейсы. На 2.6 работает.

Nick
Не в сети
Зарегистрирован: 20/09/2010

Зачем на tun и tap? Они совсем для другого.

Если речь о стандартном KAME-стэке из ядра 2.6, то можно добавить алиас на любой интерфейс.

Кстати, что делаете, тунельный режим или транспортный?

И еще: зачем 2 десятка? Почему бы им всем не работать с одним адресом?

А если это для Road Warriors, то им часто лучше делать L2TP-over-IPSec. Тогда на каждого будет PPP-интерфейс.

edge (не проверено)

[quote=Nick]Зачем на tun и tap? Они совсем для другого.

Кстати, что делаете, тунельный режим или транспортный?
[/quote]

Туннель. На фре вроде как все просто у них GIF интерфейс есть, и народ через него работает, а тут я прям в тупике..

[quote=Nick]
И еще: зачем 2 десятка? Почему бы им всем не работать с одним адресом?
[/quote]

Не, как с одним адресом, если для каждого адреса туннеля разные параметры криптования, плюс с роутингом как? С одним точно не получится. Если я говорю, что адрес той стороны находится за вот этим туннельным адресом, то куда пойдет маршрут на второго? Нет, туннель он на то и туннель, чтобы иметь соединение тока-точка, а не точка-многоточка.

[quote=Nick]
А если это для Road Warriors, то им часто лучше делать L2TP-over-IPSec. Тогда на каждого будет PPP-интерфейс.
[/quote]

Нет, тут другие задачи, и параметры криптования заказывают встречные стороны.

RSS-материал