Re: ipsec+/-nat

[Dmitry Rojkov <rojkov@piter.com>]

   On Wed, May 15, 2002 you wrote:

> Задача - имеется две сетки, скажем, 192.168.1.0/24 и 192.168.2.0/24
> Каждая имеет выход в инет с одним честным адресом, и поэтому _необходим_
> маскарадинг. В то же время, нужно на gateway/firewall машине в каждой
> сетке воздвигнуть нечто, позволяющее сделать криптованный туннель между
> ними, так чтобы весь обмен между конкретно этими двумя сетками шел через
> этот туннель.
> 
> Хотел сделать через CIPE, но оно, зараза, хочет 2.2 ядро, а я этого не
> хочу. 

не совсем так. Там надо просто исходник в одном месте поправить. 
Правда, сейчас не вспомню где именно (надо архив тамошего списка 
рассылки посмотреть)

> А с IPsec (FreeS/WAN) что-то я запутался что и как (ядро я пропатчил
> и вообще /etc/init.d/ipsec up происходит нормально). Дайте умных
> комментариев по настройке собственно туннеля и его объединения с с
> маскарадом, а?

если таки хочется FreeSWAN, то в документации там довольно популярно 
все объяснено.
А сопряжение с маскарадом заключается только в том, чтобы в цепочке
forward правила для акцепта пакетов из, скажем, 192.168.1.0 в
192.168.2.0 стояли перед маскирующим правилом.

ipchains -A forward -d 192.168.2.0/24 -s 192.168.1.0/24 -j ACCEPT
ipchains -A forward -d ! 192.168.2.0/24 -s 192.168.1.0/24 -j MASQ


-- 
To UNSUBSCRIBE, email to debian-russian-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org