Хочу понять вот что: 1. Каким образом принимается решение о передаче пакета по ipsec-туннелю (например пинга)? Информация берётся из ipsec-tools.conf и всё? 2. Нужно ли вносить изменения в таблицы маршрутизации - нет? 3. Для работы esp нужно открыть трафик по 50-му протоколу - не так ли? 4. Достаточно ли нижеследующего, чтобы начать стучаться на gate2 с gate1? 5. Чего не хватает? 6. Что это?! : "pfkey X_SPDDUMP failed: No such file or directory"
Есть такая сетка: gate1 gate2 service 10.10.100.1 <--->10.10.100.2 <--->192.168.1.2 Есть файл ipsec-tools.conf такого вида:
!/usr/sbin/setkey -f
# NOTE: Do not use this file if you use racoon with racoon-tool # utility. racoon-tool will setup SAs and SPDs automatically using # /etc/racoon/racoon-tool.conf configuration.
## Flush the SAD and SPD # flush; spdflush;
## Some sample SPDs for use racoon # spdadd 10.10.100.1 192.168.1.2 any -P out ipsec esp/tunnel/10.10.100.1-10.10.100.2/require; # spdadd 192.168.1.2 10.10.100.1 any -P in ipsec esp/tunnel/10.10.100.2-10.10.100.1/require; #
