[uanog] Re: Linux vs Pix vs ipsec

On Thu, Jan 27, 2005 at 02:46:08PM +0200, Alexander Trotsai wrote:

On Thu, Jan 27, 2005 at 02:19:45PM +0200, Vladimir N. Velichko wrote: VNV>On Wed, Jan 26, 2005 at 03:23:46PM +0200, Alexander Trotsai wrote: VNV>> все! я его таки осилил VNV>"Хорошую вещь ракУном не назовут"(с) :-D VNV>Крайне рекомендую openswan-2.3.0.

с его помощью и разобрался мне просто "повезло" на этапе пепеезда с 2.6.9 на 2.6.10 появилась еще одно "направление", помимо in/out - fwd причем инфу я смог найти только в рассылке по kernel Кое-как заставили работать и с recoon на 2.6.9, но как-то raco'м и только в mode tunnel.

VNV>Если воспользоваться егой-ным патчем к ядру, то ещё появится VNV>интерфейс ipsecX. Да и во всём остальном удобней и практичней.

не появится openswan использует native ipsec интерфейс и ставит только конфигуряшку # uname -r 2.6.10-ac10-klips # ipsec verify ... Linux Openswan 2.3.0 (klips) (Патч ядра и даёт вот ^^этот KLIPS.) # ip ad sh ipsec0 2: ipsec0: mtu 16260 qdisc pfifo_fast qlen 10 link/ether 00:0e:2e:0d:3b:d8 brd ff:ff:ff:ff:ff:ff inet 200.200.200.109/24 brd 200.200.200.255 scope global ipsec0 #ip ro ... 200.200.200.0/24 dev eth1 proto kernel scope link src 200.200.200.109 200.200.200.0/24 dev ipsec0 proto kernel scope link src 200.200.200.109

так что вычитав потом что он наконфигурял - ядуларсь в результате сделать тоже самое при помощи ipsec-tools Поделишься рез-ми, когда получится. :-)

PS: ты rp_filter на ин-фейсах выключал конечно? =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message