On Wed, Jan 20, 2010 at 12:53:23PM +0200, Alexander Trotsai wrote:

Hi всем

Попросил меня клиент организовать ему между офисами ipsec С двух сторон стоят пингвины Изначально просто связывались две сети, поэтому в leftsubnet и rightsubnet стояли конкретные сеточки и все работало зашибись (ну или близко к тому) А потом клиент решил пустить весь трафик удаленного офиса через ipsec

Так таки и весь ? И тугугль тоже ? А то, что у него с гуглем этот самый ipsec не настроен, и, соответственно, его траффик можно сразу в /dev/null заворачивать - его не волнует ? :)) Или ему хочется из одного оффиса пускать весь траффик в другой, и только оттуда уже в интернет ? Построй gre-туннель, направь default в него, и зашифруй protocol gre from host A to host B

Попробовал поправить rightsubnet на удаленном офисе (и leftsubnet с другой стороны соответственно) на 0.0.0.0/0 Трафик в принципе идет, но сам роутер локальные машины уже не видит (и наоборот) Причина прозаическая setkey -DP показывает политику <localnet> -> 0.0.0.0/0 out требующую ipsec политика естественно не дает отправлять нешифрованный трафик в локалку можно как-то не опускаясь до ручного создания политик при помощи setkey объяснить freeswan-у что трафик по локалке шифровать не надо, ну или что было-бы лучше рассказать, что шифровать надо трафик только уходящий/приходящий через определенный интерфейс?

тугугль что-то не помог

-- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Если идея не помещается в голове, значит не в ту голову попала