LINUX.ORG.RU
ФорумAdmin

IPSec


0

0 

Граждане! Помогите с IPSec, пожалуйста.
Настроил шифруемое соединение между двумя хостами: PC_1 и PC_2.
Их обмен трафиком полностью шифруется:

22:21:14.259783 IP 192.168.128.9 > 192.168.128.41: AH(spi=0x0000da5c,seq=0x10): ESP(spi=0x0000da5d,seq=0x10)
22:21:14.260091 IP 192.168.128.41 > 192.168.128.9: AH(spi=0x0000878c,seq=0x11): ESP(spi=0x0000878d,seq=0x11)

ВОПРОС: Что нужно дописать в конфиги, чтобы шифровался и трафик 
с обслуживаемых ими подсетей (например PC_1 - шлюз к сетке
10.0.1.0/24, а PC_2 шлюз к сетке 10.0.2.0/24). Что-то на тему 
-m tunnel, но у меня так и не получилось работоспособного варианта.

Вот работоспособные конфиги к шифруемому соединению между 
двумя хостами.

Для PC_1(192.168.128.9):

#!/sbin/setkey -f
flush; spdflush;

# AH
add 192.168.128.9  192.168.128.41 ah  55900 -A hmac-md5 "0012345678901234";
add 192.168.128.41 192.168.128.9  ah  34700 -A hmac-md5 "Abra-Cadabra-Yes";
# ESP
add 192.168.128.9  192.168.128.41 esp 55901 -E 3des-cbc "001234567890121234567890";
add 192.168.128.41 192.168.128.9  esp 34701 -E 3des-cbc "Nu-i-ni-figa-sebe-parol'";

# Security Policy
spdadd 192.168.128.41 192.168.128.9  any -P in  ipsec
           esp/transport//require
           ah/transport//require;
spdadd 192.168.128.9  192.168.128.41 any -P out ipsec
           esp/transport//require
           ah/transport//require;
----------------------------------

И для PC_2(192.168.128.41):

#!/sbin/setkey -f
flush; spdflush;

# AH
add 192.168.128.9  192.168.128.41 ah  55900 -A hmac-md5 "0012345678901234";
add 192.168.128.41 192.168.128.9  ah  34700 -A hmac-md5 "Abra-Cadabra-Yes";
# ESP
add 192.168.128.9  192.168.128.41 esp 55901 -E 3des-cbc "001234567890121234567890";
add 192.168.128.41 192.168.128.9  esp 34701 -E 3des-cbc "Nu-i-ni-figa-sebe-parol'";

spdadd 192.168.128.9 192.168.128.41 any -P in  ipsec
           esp/transport//require
           ah/transport//require;
spdadd 192.168.128.41 192.168.128.9 any -P out ipsec
           esp/transport//require
           ah/transport//require; 
--------------------------------------

Если кто может - надоумте плиз, а то под вечер уже башка не варит,
перепробовал много вариантов, но что-то так и не завелось...
(Читал http://www.linuxshare.ru/docs/HOWTO/lartc-HOWTO/x743.html
но просветвление так и не наступило... =)
Спасибо!

Структура районной сети
Копирование файлов
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.