Re: Re[2]: Openswan Debian 3.1
Dear shaman@066.ru,
Проблема в том, что Вы используете ядерную реализацию IPSEC
(K2.4.27-3-686). Если её отключить и наложить патч KLIPS от Openswan то
"будет Вам счастье" ;-) Собственно для этого он и существует для 2.6
ядер
> > В сообщении от 10 Июль 2006 17:14 shaman@066.ru написал(a):
> >> Система Debian 3.1.
> >> Openswan IPsec U2.2.0/K2.4.27-3-686.
> >>
> >> Туннели работают все нормально, не хватает чтобы интерфейс
> >> ipsec0 подымался, правила iptables писать проще и легче
> >> ну и понятней.
> >>
> >> Что необходимо сделать, чтобы при работе (запуске)
> >> openswan создавал интерфейс ipsec0.
>
> > Имел маленький опыт с этим делом. Вообще у меня по дефолту создавались
> > три интерфейса ipsec0, ipsec1 и ipsec2. Зачем они нужны я так и не
> > понял. Но я точно понял, что это не тунели а также, что это не совсем
> > сетевой интерфейс. Ему можно конечно назначить IP-адрес, но работает
> > там все как-то по другому. Хотя я может быть и гоню. Но дока у них
> > до жути кривая.
>
> > --
> > Макс
>
> Вот именно, что и не создаются, как был исходящий eth0 так и остался
> и если натравить tcpdump на него то мы увидим как и шифрованный пакет
> так и не шифрованный.
>
> Вот простой пример
>
> необходимо разрешить чтобы уделенные сети обменивались трафиком между
> собой
>
> пишем
>
> iptables -A FORWARD -i eth0 -s 1 сеть -o eth1 -d 2 сеть -j ACCEPT
>
> Вроде все красиво, работает, но то есть небольшая дыра, можно
> предположить если на внешний интерфейс действительно придет пакет (не
> из туннеля) но от хоста с ip 1 сети то он благополучно попадет во внутреннею сеть.
>
> Если не прав поправите.
>
> А если есть ipsec0 то будет уже по-другому.
>
> iptaples -A FORWARD -i ipsec0 -s 1 сеть -o eth1 -d 2 сеть -j ACCEPT
>
> вот тогда все красиво.
>
>
>
>
>
>
--
With best regards, Vlad Solopchenko.
Reply to: