Dan Uscatu wrote: > salut > > pina acum faceam tunele cu freeswan, care imi ridica frumos o interfata > ipsec0 pe care puteam face rute, monitorizare de trafic sau alte dracii. > ieri am incercat sa fac un tunel cu racoon (fc3). foarte multumit ca a > mers simplu si rapid, am dat sa imi fac rutele si monitorizarile cind... > surpriza: nu mai exista ipsec0 sau orice alta interfata in plus. totul e > transparent. > > intrebari: > > - cum rutez traficul din reteaua locala catre vpn ? am pus o ruta cu > destinatia reteaua remote si gw ip-ul intern al vpn gatewayului, dar > primesc doar host unreachable. de pe vpn gateway pot accesa reteaua > remote (ping, lynx, dar nu traceroute).
Vezi sa ai in SPD si politici pentru forward, de la 2.6.10 (parca) este implicit DENY, inainte era permis si in toate tutorialele nu se pomenea nimic de asta. ipsec-tools de la 0.5.x (nu mai stiu sigur) iti face automat politici si pentru fwd. AFAIK ipsec-tools nu-ti face si rutele de rigoare, cand faci un tunel subnet<->subnet rutele corespunzatoare trebuie sa le adaugi tu. > - cum monitorizez traficul vpn, diferentiat de restul de trafic ? pina > acum bagam snmp+mrtg/rrd pe ipsec0 respectiv eth0 Poti sa monitorizezi traficul ESP/AH si sa il contorizezi. Ca o completare, openswan stie si de implementarea nativa din 2.6 pentru ipsec dar inca mentine si fosta implementare din freeswan (klips) pentru 2.6. mitu --- Detalii despre listele noastre de mail: http://www.lug.ro/
