Dear [EMAIL PROTECTED],
Проблема в том, что Вы используете ядерную реализацию IPSEC
(K2.4.27-3-686). Если её отключить и наложить патч KLIPS от Openswan то
будет Вам счастье ;-) Собственно для этого он и существует для 2.6
ядер
В сообщении от 10 Июль 2006 17:14 [EMAIL PROTECTED] написал(a):
Система Debian 3.1.
Openswan IPsec U2.2.0/K2.4.27-3-686.
Туннели работают все нормально, не хватает чтобы интерфейс
ipsec0 подымался, правила iptables писать проще и легче
ну и понятней.
Что необходимо сделать, чтобы при работе (запуске)
openswan создавал интерфейс ipsec0.
Имел маленький опыт с этим делом. Вообще у меня по дефолту создавались
три интерфейса ipsec0, ipsec1 и ipsec2. Зачем они нужны я так и не
понял. Но я точно понял, что это не тунели а также, что это не совсем
сетевой интерфейс. Ему можно конечно назначить IP-адрес, но работает
там все как-то по другому. Хотя я может быть и гоню. Но дока у них
до жути кривая.
--
Макс
Вот именно, что и не создаются, как был исходящий eth0 так и остался
и если натравить tcpdump на него то мы увидим как и шифрованный пакет
так и не шифрованный.
Вот простой пример
необходимо разрешить чтобы уделенные сети обменивались трафиком между
собой
пишем
iptables -A FORWARD -i eth0 -s 1 сеть -o eth1 -d 2 сеть -j ACCEPT
Вроде все красиво, работает, но то есть небольшая дыра, можно
предположить если на внешний интерфейс действительно придет пакет (не
из туннеля) но от хоста с ip 1 сети то он благополучно попадет во внутреннею
сеть.
Если не прав поправите.
А если есть ipsec0 то будет уже по-другому.
iptaples -A FORWARD -i ipsec0 -s 1 сеть -o eth1 -d 2 сеть -j ACCEPT
вот тогда все красиво.
--
With best regards, Vlad Solopchenko.
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]