IPSEC - ipsec-tools, isakmpd - да любой блин!

да-а-а, еще осталось FreeS/WAN потестить и SSL VPN =(

про SSH VPN в ветке Security

В туннельном режиме заставить работать у меня тоже не получилось, но я нашел простой способ. Настраиваешь транспортный уровень между марщрутизаторами, и поднимаешь туннель IP-IP или GRE. Утилитка iptunnel.

Я тоже так подумал. Но почему то ipip не завелось. Сегодня еще GRE попробую.

> и поднимаешь туннель IP-IP или GRE.

А можно пару комментов, плиз.
так что-ли? можно подробнее, на пальцах, как? 
Сначала настроить IPSec между двумя хостами (например, по 10.0.0.1 
и 10.0.0.2), а потом поднять туннель примерно так?

==================================================================
===[ VPN(2): ip tunnel mode gre ]=================================
==================================================================
tigra_ip: 192.168.128.9;  xil_ip: 192.168.128.41;  VPN_GRE: 10.0.0.0/24
[root@tigra]~# modprobe ip_gre
[root@tigra]~# ip tunnel add 2xil mode gre remote 192.168.128.41 local 192.168.128.9 ttl 255
[root@tigra]~# ip link set 2xil up
[root@tigra]~# ip addr add 10.0.0.1 dev 2xil
[root@tigra]~# ip route add 10.0.0.0/24 dev 2xil

[root@xil]# modprobe ip_gre
[root@xil]# ip tunnel add 2tigra mode gre remote 192.168.128.9 local 192.168.128.41 ttl 255
[root@xil]# ip link set 2tigra up
[root@xil]# ip addr add 10.0.0.2 dev 2tigra
[root@xil]# ip route add 10.0.0.0/24 dev 2tigra

ну и прокся из xil для tigra
[root@xil]# echo 1 > /proc/sys/net/ipv4/ip_forward
[root@xil]# iptables -A POSTROUTING -t nat -o eth0 -j SNAT --to-source 192.168.128.41
[root@tigra]~# route del default
[root@tigra]~# route add default gw 10.0.0.2
==================================================================

поясни, пожалуйста, чтоб закрыть уже эту тему, а то давно бъёмся...

Не зря настройка IPSec обычно стоит денег. :))

денег стоит все, втой или иной степени

ХОРОШИХ денег стоит - это да, теперь и сам понимаю это =)

Нормально все работает. Погугли, куча ссылок. Только по пути м/д конечными точками туннеля не д.б. натов и проксей. Если есть - то только трансп. режим.

Нет ни проксе ни натов. Конфиги я выложил.

Вот я думаю, у меня на этой же машине NAT для выхода клиентов в инет. Может он влияет на это дело?

> Нормально все работает.

Подтверждаю.

На днях поднимал тунель между FreeSWAN/2.4 и OpenSWAN/2.6 - всё работает.

А разве SWAN работает с фдром 2.6?

2.x работает.

ок, народ, а может кто-нибудь покажет свои конфиги для туннельного режима, а? желательно применительно для IPSec ядра 2.6. буду очень признателен...

Ага. присоединяюсь.

У меня получилось.

http://npj.ru/bigkaa/ipsectunnel

блин. опят не пингуется. сначало все пошло. потом, ничего не делал. и всё пропало. непойму.

вот что говорит tcpdump

23:07:26.648018 IP x.x.x.x > y.y.y.y: ESP(spi=0x00000201,seq=0x3b)

23:07:26.681714 IP y.y.y.y > x.x.x.x: ESP(spi=0x00000301,seq=0x71)

23:07:26.681714 IP truncated-ip - 8 bytes missing! y.y.y.y > 69.0.0.108: gre-proto-0x4000

вот интересно откуда берётся 69.0.0.108?

> У меня получилось.

Нет. Это не тунельный IPSec, это GRE внутри транспортного IPSec.

ага. имеено GRE тунель передающий данные по шифрованному каналу. потому как туннельный ipsec нихрена не работает. Ни ipsec-tools ни isakmpd ни swan!

Ни кто ни привел тут еще ни одного примера конфигурации РАБОТАЮЩЕГО ткннеля. Поэтому пришлось делать из говна пулю.

Ну так взял бы тогда OpenVPN.

Ага. Взял OpenVPN и все заработало :)

"по пути м/д конечными точками туннеля не д.б. натов и проксей" Если у тебя нат на той же машине, то он тоже по пути (пакета) ;)

Да стандартная конфигурация.
ядро >= 2.6.8 + ipsectools правишь дефолтовые конфиги и все!
Куча инструкций на гугле:

http://www.google.com/search?hl=en&q=ipsec+vpn+racoon&btnG=Google+Search

А я, когда мне нужен был простейший туннель, использовал CIPE, чего и Вам предлагаю.