Мы — долго запрягаем, быстро ездим, и сильно тормозим.

Авторы
История сайта
Статистика
Архив
  CVSup
  EXIM & courier-imap
  postfix & courier-imap
  SQUID
  SAMBA
  IPsec
  C-ICAP
  exim & dbmail
  vpnd
  Samba как PDC
  pureftpd
  diskless
  gmirror
  SAMBA + LDAP
  IPSEC
  SAMBA+ACL
  Lightsquid
  LiveCD (+restore)
  1С:Предприятие 8.2
Карта сайта
поисковые слова
Личные настройки
Реклама
Друзья сайта


www.lissyara.su —> главная —> Архив —> IPSEC

Настройка шифрованного туннеля с использованием IPSEC

Автор: lissyara.


    Итак. Старая статья устарела :). Да и понадобилось сделать на 6.2, в отличие от описанной там 4.11, заодно прикрутить сертификаты - для надёжности. Посему, пишу заново.
   Подробности о том, как всё сделать "руками", плюс дополнительные объяснения можно глянуть в старой версии статьи, тут будет лишь описание, как сделать туннели, и прочее по теме чисто штатными средствами (раньше половина подымалась своими скриптами).
   Исходные условия - две машины, первая - 217.15.62.49, 192.168.160.254 (via.epia); вторая 217.15.62.200, 192.168.170.254 (test.lissyara.su), задача - связать сети 192.168.x.x. Предполагается, что обе машины - default router для своих сетей, иначе придётся внутри сети рулить пакеты дополнительно.
   Поехали. Для начала пересобираем ядро с такими опциями:
# firewall (необязательно, можете загрузить модулем.)
# Однако, сам по себе файрволл всё же нужен, ибо неплохо ограничить
# хосты которые могут коннектится на порты ракона - на всякий случай...
options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=1000
options         TCP_DROP_SYNFIN

# IPSEC
options         IPSEC
options         IPSEC_ESP
options         IPSEC_DEBUG	# необязательно, но облегчит поиск проблем

   Пока собирается ядро, обновляем порты такой командой:
test.lissyara.su # csup -g -L 2 -h cvsup5.ru.freebsd.org \
? /usr/share/examples/cvsup/ports-supfile && cd /usr/ports/ \
? && make fetchindex

   После обновления ставим racoon, из коллекции ipsec-tools:
/usr/home/lissyara/>cd /usr/ports/security/ipsec-tools/
/usr/ports/security/ipsec-tools/>make install clean

   Лезет такое окошко:
+--------------------------------------------------------------------+
|                  Options for ipsec-tools 0.6.6                     |
| +----------------------------------------------------------------+ |
| |[X] DEBUG      enable Debug support                             | |
| |[ ] IPV6       enable IPV6 support                              | |
| |[ ] ADMINPORT  enable Admin port                                | |
| |[ ] STATS      enable Statistics logging function               | |
| |[X] DPD        enable Dead Peer Detection                       | |
| |[ ] NATT       enable NAT-Traversal (kernel-patch required)     | |
| |[ ] NATTF      require NAT-Traversal (fail without kernel-patch)| |
| |[X] FRAG       enable IKE fragmentation payload support         | |
| |[ ] HYBRID     enable Hybrid Mode-cfg and Xauth support         | |
| |[ ] PAM        enable PAM authentication                        | |
| |[ ] GSSAPI     enable GSS-API authentication                    | |
| |[ ] RADIUS     enable Radius authentication                     | |
| |[ ] SAUNSPEC   enable Unspecified SA mode                       | |
| |[ ] RC5        enable RC5 encryption (patented)                 | |
| |[ ] IDEA       enable IDEA encryption (patented)                | |
+-+----------------------------------------------------------------+-+
|                       [  OK  ]       Cancel                        |
+--------------------------------------------------------------------+

   Опции, которые я выбрал - указаны. После инсталляции, идём создавать директории (странно, но хотя стартовые скрипты инсталлялся, директории которые требуются - не создаются, хотя в этих самых скриптах они указаны), заодно копируем дефолтовый конфиг, который тоже не инсталлится куда положено:
/usr/home/lissyara/>mkdir -p /usr/local/etc/racoon/cert
/usr/home/lissyara/>cp /usr/local/share/examples/ipsec-tools/racoon.conf \
? /usr/local/etc/racoon/racoon.conf

   До рихтовки конфига, надо нагенерить сертификатов. Честно говоря с OpenSSL особо не разбирался, сама операция откуда-то чесно дёрнута, и подрихтована под свои нужды, посему даю как есть:
/usr/home/lissyara/>cd /usr/local/etc/racoon/cert/
/usr/local/etc/racoon/cert/>openssl req -new -nodes -newkey rsa:1024 \
? -sha1 -keyform PEM -keyout via.epia.private -outform PEM \
? -out via.epia.pem
Generating a 1024 bit RSA private key
..............................++++++
..++++++
writing new private key to 'via.epia.private'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:SU
State or Province Name (full name) [Some-State]:USSR
Locality Name (eg, city) []:Moscow
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Home Network
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:Alex Keda
Email Address []:admin@lissyara.su

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
/usr/local/etc/racoon/cert/>
/usr/local/etc/racoon/cert/>ll
total 4
-rw-r--r--  1 root  wheel  676 15 мар 14:44 via.epia.pem
-rw-r--r--  1 root  wheel  887 15 мар 14:44 via.epia.private
/usr/local/etc/racoon/cert/>openssl x509 -req -in via.epia.pem  \
? -signkey via.epia.private  -out via.epia.public
Signature ok
subject=/C=SU/ST=USSR/L=Moscow/O=Home Network/CN=Alex
 Keda/emailAddress=admin@lissyara.su
Getting Private key
/usr/local/etc/racoon/cert/>ll
total 6
-rw-r--r--  1 root  wheel  676 15 мар 14:44 via.epia.pem
-rw-r--r--  1 root  wheel  887 15 мар 14:44 via.epia.private
-rw-r--r--  1 root  wheel  899 15 мар 14:48 via.epia.public
/usr/local/etc/racoon/cert/>

   Для второй машины тоже генерим ключи, и копируем с одной на другую файлики *.public. В принципе, имена ключей неважны, можно называть и по IP, с соответствующими расширениями.
   Далее, рисуем конфиги, для обоих одинаковые, тока меняются местами все IP и ключи:
/etc/rc.conf
# added by lissyara 2007-03-15 in 14:32
# Включем racoon
racoon_enable="YES"
# создаём gif-интерфейс
cloned_interfaces="gif0"
# пробиваем туннель
gif_interfaces="gif0"
gifconfig_gif0="217.15.62.49 217.15.62.200"
ifconfig_gif0="inet 192.168.160.254 192.168.170.254 netmask 0xffffffff"
# Включаем IPSEC
ipsec_enable="YES"
# вводим статический роутинг
static_routes="RemoteLan"
route_RemoteLan="192.168.170.0/24 -interface gif0"

/etc/ipsec.conf
# тут описывается как шифруется проходящая
# в туннеле инфа. Для второй машины надо просто поменять IP местами
spdadd 217.15.62.49/32 217.15.62.200/32 ipencap -P out ipsec
 esp/tunnel/217.15.62.49-217.15.62.200/require;
spdadd 217.15.62.200/32 217.15.62.49/32 ipencap -P in ipsec
 esp/tunnel/217.15.62.200-217.15.62.49/require;

/usr/local/etc/racoon/racoon.conf
# $KAME: racoon.conf.sample,v 1.28 2002/10/18 14:33:28 itojun Exp $

# "path" затрагивает директиву "include".  "path" должен быть задан до любых
# директив "include" с относительным путём к файлу.
# Вы можете перезадать директиву "path" впоследствии, однако, это может
# привести большому замешательству.
path include "/usr/local/etc/racoon" ;
#include "remote.conf" ;

# файл должен содержать пару ключей ID/key, для аутентификации по ключам.
#path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;

# racoon будет искать файл сертификата в директории, если передан полезный
# запрос certificate/certificate.
path certificate "/usr/local/etc/racoon/cert/" ;

# "log" определяет уровень логгирования. Он сопровождается одним из
#  "notify", "debug" или "debug2".
log debug2;

# "padding" задаёт некоторые параметры формирования пакетов (если я верно понял)
# Ничего тут не трогайте. (Ага, конечно! - прим. lissyara)
padding
{
        maximum_length 20;      # максимальная длинна набивки (?).
        randomize off;          # включение случайной длинны.
        strict_check off;       # включить строгую проверку.
        exclusive_tail off;     # извлекать один последний октет.
}

# если директива listen не задана, racoon слушает все доступные
# адреса интерфейсов.
listen
{
        #isakmp ::1 [7000];
        isakmp 217.15.62.49 [500];
        #admin [7002];          # административный порт для racoonctl.
        #strict_address;        # требует что все адреса должны быть ограничены.
}

# Задание различных дефолтовых таймеров.
timer
{
        # Эти значения могут быть изменены удалённым узлом.
        counter 5;              # максимальный счётчик попыток отсыла.
        interval 20 sec;        # максимальный интерал для повторной посылки.
        persend 1;              # число отсылаемых пакетов.

        # максимальное время ожидания для завершения каждой фазы.
        phase1 30 sec;
        phase2 15 sec;
}

# описываем удалённый хост (на второй машине - идентично,
# тока другой IP и ключи)
remote  217.15.62.200
{
        exchange_mode aggressive,main;
        my_identifier asn1dn;
        peers_identifier asn1dn;
	# сертификаты этой машины
        certificate_type x509 "via.epia.public" "via.epia.private";
	# сертификат удлённой машины
        peers_certfile x509 "test.lissyara.su.public";
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method rsasig;
                dh_group 2 ;
        }
}

# Вначале хотел вообще без этой секции,
# но неподнялось, с такой руганью в логах:
# racoon: ERROR: failed to get sainfo.
sainfo anonymous
{
        pfs_group 5;
        lifetime time 60 min;
        encryption_algorithm 3des ;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate ;
}

   Думается, к этому моменту ядро уже пересобралось, и проинсталлилось. Можно перезагружатья. После перезагрузки смотрим:
/usr/home/lissyara/>ifconfig
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 192.168.160.254 netmask 0xffffff00 broadcast 192.168.160.255
        ether 00:40:63:d8:23:6d
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
vr1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 217.15.62.49 netmask 0xffffffc0 broadcast 217.15.62.63
        ether 00:40:63:d8:23:3c
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet 127.0.0.1 netmask 0xff000000
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
        tunnel inet 217.15.62.49 --> 217.15.62.200
        inet 192.168.160.254 --> 192.168.170.254 netmask 0xffffffff
/usr/home/lissyara/>
/usr/home/lissyara/>ps -ax | grep racoon
  859  ??  Is     0:00,01 /usr/local/sbin/racoon
 1091  p0  R+     0:00,01 grep racoon
/usr/home/lissyara/>

   Всё нормально, все интерфейсы создались, racoon запущен. Надо заметить, что пока в фаерволле не прокрутили дырки для протоколов и портов, по которым пашет туннель, по нему ничё не пойдёт. Также учтите, что ядро собранное с вышеуказанными (которые про firewall, а не про ipsec) опциями, включает файроволл при загрузке, в режиме запрета всего. Поэтому до перезагрузки лучше настроить файрволл, или иметь физический доступ к машине.
   Крутим дырки:
/usr/home/lissyara/>ipfw show | head -4
00100   48   4032 allow ip from any to any via gif0
00200    2   1656 allow udp from 217.15.62.200 to me dst-port 500
00300   35   5600 allow esp from me to 217.15.62.200
00400   35   5600 allow esp from 217.15.62.200 to me

   Ну и пробуем попинговаться:
/usr/home/lissyara/>ping 192.168.170.254
PING 192.168.170.254 (192.168.170.254): 56 data bytes
64 bytes from 192.168.170.254: icmp_seq=4 ttl=64 time=3.160 ms
64 bytes from 192.168.170.254: icmp_seq=5 ttl=64 time=2.355 ms
^C
--- 192.168.170.254 ping statistics ---
6 packets transmitted, 2 packets received, 66% packet loss
round-trip min/avg/max/stddev = 2.355/2.758/3.160/0.402 ms
/usr/home/lissyara/> 

   Первые 4 пакета потерялись, при поднятии туннеля (чё-то всё же стало кривей - на 4.11 терялся всего один пакет, хотя сетевая дистанция была куда больше), затем всё забегало.
   В случае проблем, смотрим логи (/var/log/security). У меня там (/var/log/messages) нашлась интересная строка:
Mar 16 10:51:31 epia kernel: WARNING: pseudo-random number generator used for IPsec processing

   Рыскания по инету ни к чему не привели - вроде как реально чё-то стало кривей... В рассылке lists.freebsd.org рекомендуют ставить железный генератор случайных чисел :).

P.S. Рекомендую ознакомиться со старой версией статьи для понимания происходящего.



Ссылка на обсуждение: Incorrect URL.

размещено: 2007-03-16,
последнее обновление: 2008-09-25,
автор: lissyara

оценить статью:

alex, 2007-03-16 в 11:29:22

Неплохо бы добавить сюда еще использование NAT-T.

yolkov, 2007-03-16 в 16:41:42

# Вначале хотел вообще без этой секции,
# но неподнялось, с такой руганью в логах:
# racoon: ERROR: failed to get sainfo.
sainfo anonymous
...

потому что это описание второй фазы, первая фаза - remote ...

^rage^, 2007-03-17 в 0:10:33

неплохо бы юзать IPSEC_FAST и device crypto. чтобы задействовать апаратную реализацию AES в via c5-c7

lissyara, 2007-03-17 в 0:49:52

Как девайс-то сменить?
Что у via есть аппаратный генератор в маме - я тоже в рассылке нашёл. Не нашёл как устройство указать...

^rage^, 2007-03-17 в 10:23:17

Где-то в районе handbook было, что FAST_IPSEC задействует подсистему crypto и по возможности поддерживаемые ей аппаратные шифровалки =)

http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec.html

^rage^, 2007-03-17 в 10:24:27

И кстати, там не только hw rng, но, как я уже и говорил, hw aes.

yolkov, 2007-03-17 в 15:01:03

а что для 6.1 сертификаты по другому генерить надо? в логах такие ошибки:
ERROR: failed to get my CERT.
ERROR: failed to get own CERT.
ERROR: failed get my ID
ERROR: failed to begin ipsec sa negotication.

Хотя на 6.2 без проблем подхватывает сертификаты

yolkov, 2007-03-17 в 16:35:27

извините ошибка  в конфиге была, можно удалить этот и предыдущий пост

Maestro, 2007-05-07 в 14:44:05

На 6.1 почему-то не работает. Странно. Все на сто раз перепроверил. В логах ошибок нет. А пинг не идет, даже когда IPFW в OPEN. Ничего не понимаю. Странно все это. В логах пишется что тунель established - а пинг не идет. Кто нить сталкивался???

zik, 2007-05-24 в 22:12:40

spdadd 217.15.62.49/32 217.15.62.200/32 ipencap -P out ipsec
esp/tunnel/217.15.62.49-217.15.62.200/require;
spdadd 217.15.62.200/32 217.15.62.49/32 ipencap -P in ipsec
esp/tunnel/217.15.62.200-217.15.62.49/require;

Вот этом конфиге пока в spadd не указал удреса сетей нихуа не зароботало, вот по какому принципу заработало:

spdadd 192.168.160.0/24 192.168.170.0/24 ipencap -P out ipsec
esp/tunnel/217.15.62.49-217.15.62.200/require;
spdadd 192.168.170.0/24 192.168.160.0/24 ipencap -P in ipsec
esp/tunnel/217.15.62.200-217.15.62.49/require;

Я незнаю - это баг или я просто плохо понял ...

lissyara, 2007-05-24 в 22:51:38

у меня в двух местах работает как описано...

hopeful, 2007-10-03 в 13:43:43

Промаялся день с парой хардварных роутеров NetGear FVS114 и D-link 824VUP+, согласуя их по IPSEC с FreBSD, чтобы дойти до очевидного. Туннели устанавливались, но пакеты не ходили. Пришлось подправить правила:
spdadd 192.168.160.0/24 192.168.170.0/24 any -P out ipsec
esp/tunnel/217.15.62.49-217.15.62.200/require;
spdadd 192.168.170.0/24 192.168.160.0/24 any -P in ipsec
esp/tunnel/217.15.62.200-217.15.62.49/require;

freeman_tnu, 2007-10-03 в 14:13:08

почитал бы тут http://www.lissyara.su/?id=1503 не маялся б

Sadok, 2007-10-22 в 7:18:41

Хм. Я правильно понял, что следуя указанным рекомендациям, сертификаты создаются со сроком действия 1 месяц? Во всяком случае, у меня именно так :)

Спасибо за статью, все взлетело за 5 минут.

lissyara, 2007-10-22 в 9:23:50

Не знаю, но месяца четыре уже работает в одном месте...

Sadok, 2007-10-26 в 13:14:12

Ну, посмотрим, что там со сроками действия. ИМХО, должно отвалиться соединение. Просто по аналогии, что браузеры возмущаются на просроченные сертификаты...

И еще один момент. В debug.log я не вижу сообщений о смене ключей (в конфиге log debug2;). Не связано ли это с отсутствием lifetime time ХХ min; в секции описания удаленного хоста?

DimERR, 2007-11-19 в 13:57:02

Доброе время суток, столкнулся с такой проблемой: туннель работает, но переодически слетает (раз в три дня примерно)в логах только одна ошибка... kernel: IPv4 ESP input: no key association found for spi. Стоит FreeBSD 6.1, конфиги перепроверил вроде все ок. Может кто сталкивался? Заранее, спасибо )

sidor-r, 2007-11-19 в 21:23:42

Было такое на 6.1
Обновил ipsec-tools и всё заработало как надо!!!

freesco, 2008-01-29 в 13:26:56

Зачем gif туннель если IPSEC использует tunnel mode, а не transport? Неувязка получается, зачем 2 туннеля? На мой взгляд одного, реализованного средствами IPSEC хватило бы, gif интерфейс лишний  

unkn0wn, 2008-01-30 в 10:46:20

В данном случае шифруется не весь трафик, выходящий с внешнего интерфейса, а только трафик, который инкапсулирует пакеты локальной сети, то бишь выходящий с gif-туннеля, потому никакой неувязки нет. Подробнее описано тут: http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec.html
Хендбук - сила )

Кстати, на FreeBSD 5.4 демон racoon падает в корку после первого принятого пакета IPSec, причину такого поведения так и не понял. Порты свежие.

krilya, 2008-04-24 в 4:55:23

у меня racoon прекрасно работает и без gif
FreeBSD 4.11 и 6.2

fenrir, 2008-05-05 в 14:34:57

хотелось бы добавить то что в ситуации с 7 веткой фри в ядро нужно добавлять не
options         IPSEC
options         IPSEC_ESP
options         IPSEC_DEBUG
а
options         IPSEC
device          crypto

Touch, 2008-10-05 в 15:43:40

2 Sadok:
Насчёт срока действия сертификатов - по-идее ничего не отвалится т.к. нет CA кот. должен "отвалить"
Насчёт срока смены ключей - сам делал по хэндбуку, у Лиса взял авторизацию по сертификатам, так вот в хэндбуке действительно lifetime стоит в обоих секциях, собсно у себя сделал также и в debug-логах всё expire'ится как положено.

Touch, 2008-10-05 в 18:51:52

2 lissyara:
Cпасибо за идею шифровать ipencap, благодаря этому можно замечательно мониторить gif-тунели, что если делать по хэндбуку не получается ;) может допишешь в хэндбук ?

Touch, 2008-10-05 в 19:04:02

Ха! А в русской версии как раз шифруется ipencap вот жеж!

lissyara, 2008-10-05 в 19:22:55

Насколько я помню, первая версия делалась именно по русской версии.

Maestro, 2008-10-08 в 19:41:40

Фича следующего характера, настроил на 6.2 ipces с psk - идут потери пакетов...
sainfo anonymous
{
       pfs_group 5;
       !!!  lifetime time 60 min; !!!
       encryption_algorithm 3des ;
       authentication_algorithm hmac_sha1;
       compression_algorithm deflate ;
}
В выделеном фрагменте стоит 2 минуты - думаю в этом дело... Хотя не уверен. А у народа все без потерь?

Maestro, 2008-10-08 в 19:45:41

И еще. Совершенно непонятно зачем в rc.conf пихать cloned_interfaces="gif0" - без этого все замечательно работает

Basil, 2008-12-08 в 15:18:50

Воспользовался некотрыми настройками из данной статьи и вот к чему пришел.
Настраивал IPSEC под систему FreeBSD 7.0:
Ядро конфигурировал с опциями:
options         IPSEC
device          crypto
И настроил racoon.
После чего начал играться настроиками:
- удалин один сертификат с одного сервера - все работает...
- удалил все сертефикаты с одного сервера - все равно работает!!!
- удалил файл /usr/local/etc/racoon/racoon.conf - ракон не запустился, но все работает!

Для чего оно тогда?
И что-то не проходят пакеты больше 128 кбит...пока пытаюсь разобраться в проблеме...

Sadok, 2008-12-08 в 17:15:34

Это говорит о том, что туннеля не было и нет :)

Basil, 2008-12-09 в 10:29:46

Как нет? Разве пинги(как с сервера, так из самой сети) и трасроут из одной подсети в другую ничего не означают?
Команда запущена с сервера 192.168.0.254 на одну из машин удаленного офиса:
# traceroute 192.168.1.154
traceroute to 192.168.1.154 (192.168.1.154), 64 hops max, 40 byte packets
1  192.168.1.254 (192.168.1.254)  18.377 ms  18.736 ms  17.719 ms
2  192.168.1.154 (192.168.1.154)  17.595 ms  18.052 ms  18.948 ms

Sadok, 2008-12-09 в 12:37:31

Базиль, покажите вывод setkey -D, когда Вы думаете, что туннель есть. А то похоже, что просто маршрутизация настроена или вообще NAT.

Basil, 2008-12-24 в 10:04:24

Я в отпуске был, а тут все сново попытался сделать, но не вышло. setkey пустой... буду очень благодарен, если кто из знающих поможет мне, т.к. чувствую, что чего-то очевидного не замечаю ):
Моя аська 6544693.
Также можете по этой же аське за помощью ко мне обращаться, когда я разберусь (;

Sadok, 2008-12-24 в 10:23:46

Basil, если setkey -D говорит, что No SAD entries, то "не глядя" помочь трудно...

Показывайте ifconfig, /etc/rc.conf для начала. Следом файлы конфигов, которые по статье делали.

Basil, 2008-12-24 в 10:38:14

Sadok, я не думаю, что это место для длинных конфигов... если есть желание и время чтобы помочь разобраться, то стукни в асю (6544693).

Sadok, 2008-12-24 в 10:52:35

Не пользуюсь :) Выложи тогда всё в топик по теме

Basil, 2008-12-24 в 12:51:33

Выложил...тогда если у кого есть какие соображения, то лучше туда писать.

Basil, 2008-12-24 в 12:52:01

Выложил...тогда если у кого есть какие соображения, то лучше туда писать.

Sergeyk, 2009-02-12 в 18:24:48

А как быть с ipsec в случае, когда удаленный офис имеет динамический IP-адрес (провайдер статику на ADSL не дает)?

Sadok, 2009-02-12 в 19:21:35

2 Sergeyk

ИМХО, никак. В этом случае поднимать VPN (mpd, OpenVPN и т.п.)

mak_v_, 2009-02-13 в 10:49:58

либо курить скрипты с dyndns в связке, либо впн (клиент-сервер), как вариант - согласен с Sadok

Sadok, 2009-02-13 в 11:23:12

2 mak_v_ А dyndns тут не поможет, имхо. В /etc/ipsec.conf указываются ip-адреса, а не FQDN, имхо опять же.

mak_v_, 2009-02-13 в 12:16:30

awk + grep  - вытягиваем айпи из динднс, подставляем в конф, рестартуем айписег, не прокатит? (понимаю что "изящно")

Sadok, 2009-02-13 в 13:24:52

ifconfig |grep достаточно :) прокатит, наверное, но мне в голову такое не приходило :)

LiNer, 2009-05-29 в 11:27:19

Небольшое замечание по pf
Для того чтоб пахало, у меня в конфиге:
## вместо isakmp можно писать 500
pass in on $ext_if proto udp from $remote_server to \
$ext_if port isakmp keep state
## ещё правило для пакетов установки соединения
pass in on $ext_if proto esp from $remote_server to \ $ext_if keep state

ну и не забываем разрешать исходящий трафик :)

levantuev, 2009-11-30 в 20:50:19

Собрал ядро на удаленной тачке с поддержкой
options         IPSEC
options         IPSEC_ESP
options         IPSEC_DEBUG

Теперь достучаться не могу, никто не подскажет из-за чего может быть? Раньше нормально перезагружалось...

antik, 2010-01-05 в 15:02:42

Аффтар - эпический мудак.
С OpenSSL он особо не разбирался. Описание SA он хотел выбросить. Вместо сгенерить CA, сертификаты самоподписывает. Увидел жалобу на отсутствие хардверного генератора ключей - и сразу "реально чё-то стало кривей...". А если бы не увидел?
Короче, всё методом "тычка" да "на авось".
Ну и. Дружище, если бы вы у меня взялись настраивать security-related сервис, не удосужившись даже поинтересоваться, как он называется - к вечеру трудовая была бы у вас на руках. Ракон, мля...
Рыжий человек, что с него взять...

lissyara, 2010-01-05 в 15:52:34

я к хохлам на работу в жисть не пойду.
так что сиди дальше, вазелин готовь - за газ расплачиваться =)

;), 2010-01-05 в 16:12:19

Газмяс )))

Wic, 2010-01-05 в 23:19:45

2 Sergeyk
врубаешь впн, а по нему кидаешь тунель и криптуешь его

guest, 2010-06-12 в 22:18:01

а как быть если на 1 сервере нужно поднять 3 туннеля?
продублировать в rc.conf
Код: Выделить всё • Развернуть
gif_interfaces="gif0"
gif_interfaces="gif1"
gif_interfaces="gif2"
и т.д.


а так же в ipsec.conf 6 строк, по 2 на каждый и racoon.conf прописать к каждому блок "remote"


Оставьте свой комментарий:
Ваше имя:   *
e-mail:  
жирный
наклонный
подчёркнутый
ссылка
цвет
Нынешний год:   *
 


Хостинг HOST-FOOD

2014-07-27, lissyara
gmirror

Удалённое создание софтверного зеркала средствами gmirror, на диске разбитом с использованием gpart. Использование меток дисков для монтирования разделов.
2013-08-20, zentarim
Scan+Print server FreeBSD 9

Настройка сервера печати и сервера сканирования под управлением операционной системы FreebSD 9 для МФУ Canon PIXMA MP540
2011-11-20, BlackCat
Разъём на WiFi-карту

Делаем съёмной несъёмную антену на WiFi-карте путём установки ВЧ-разъёма
2011-09-14, manefesto
Настройка git+gitosis

Настройка системы контроля версия исходного кода в связке git+gitosis+ssh
2011-08-14, zentarim
Wi-FI роутер + DHCP + DNS

Настройка Wi-Fi роутера на Freebsd 8 + DNS сервер + DHCP сервер: чтобы Wi-Fi клиенты были в одной подсети с проводными, проводные и беспроводные клиенты получали адреса автоматически по DHCP, кэширующ
2011-06-15, -ZG-
Охранная система на FreeBSD+LPT

В этой статье описана попытка реализации простой охранной системы на базе FreeBSD с подключением к ней охранных устройтсв на LPT порт и видеорегистрацией.
2011-03-13, terminus
ng_nat

Описание работы ng_nat, практическое использование, достоинства и недостатки в сравнении с ipfw nat
2011-02-20, Капитан
Nagios+Digitemp

Статья описывает создание системы оповещения о превышении температуры в специальных помещениях на основе Nagios с использованием программы Digitemp.
2011-02-17, Le1
Zyxel Configuration

Скрипт для массового изменения конфига свичей Zyxel. Берет из файла iplist список ip-шек, заходит последовательно на каждый и выполняет комманды из файла commands, записывая происходящее в лог файл.
2011-02-16, fox
hast carp zfs ucarp cluster

HAST (Highly Available Storage), CARP, UCARP, ZFS, Cluster настройка и одаптация плюс личные размышления…
2011-02-04, BlackCat
Восстановление ZFS

История о том, как был восстановлен развалившийся RAIDZ ZFS-пул (перешедший в FAULTED) с помощью скотча и подручных средств. Или о том, какие приключения ожидают тех, кто не делает резервных копий.
2011-02-03, Капитан
1-Wire

Статья описывает самостоятельное изготовление контроллера DS9097 для съёма показаний с датчиков температуры DS1820 с помощью программы Digitemp.
2011-01-28, Капитан
Температура в серверной

Статья описывает построение системы наблюдения за температурой в помещении серверной с использованием программы Digitemp и выводом графиков в MRTG
2011-01-21, m4rkell
Syslog server

Как то буквально на днях, у нас завалилось, что то в еве) или не в еве не суть. Суть в том, что когда захотели снять логи с хостов esx обнаружили, что хранят эти негодяи логии только за последнии сутк
2011-01-07, lissyara
Canon/gphotofs

Монтирование цифровых фотоаппаратов Canon (PTP) как файловой системы, автоматизация этого процесса через события devd и внешние скрипты.
2010-12-13, Al
IPSec

Описание принципов работы IPSEC и способов аутентификации.
2010-12-07, manefesto
FreeBSD on flash

Было принято решении переехать на USB Flash и установить минимальный джентельменский набор для работы своего роутера. Делаем =)
2010-12-05, Fomalhaut
root ZFS, GPT

Инструкция по установке FreeBSD с использованием в качестве таблицы разделов GPT и в качестве основной файловой системы - ZFS
2010-09-05, Cancer
Настройка аудиоплеера на ximp3

Цели: Простенький аудиоплеер, для того что бы тетя продавец в магазине утром пришла нажала на кнопку Power и заиграла в зале музыка, так же был доступ по сети, общая шара куда можно заливать музыку, к
2010-08-31, Cancer
Установка и настройка OpenVPN

На днях появилась задача - объединить головной офис и 3 филиала в одну сеть через интернет посредством OpenVPN, чтобы люди могли подключаться через RDP к базам 1С на серверах.
2010-08-25, manefesto
freebsd lvm

Использование linux_lvm для работы с LVM разделами из-под FreeBSD. Проблемы которые возники при монтирование lvm раздела
2010-04-30, gonzo111
proftpd file auth&quota

Proftpd - квоты и авторизация из файлов, без использования базы данных и/или системных пользователей
2010-04-22, lissyara
tw_cli

Пошаговая инструкция по восстановлению RAID на контроллере 3ware, из которого выпал один диск. Настройка мониторинга состояния рейда и отчётов о его состоянии на email.
2010-04-14, fox
MySQL Master+Master

MySQL (Master Master) and (Master Slave) Как настроить репликацию…
2010-03-22, Mufanu
named 9.7.0

Система доменных имен (Domain Name Service, DNS) - одна из тех незаметных, закулисных программ, которым не уделяется и половины того внимания, которого они заслуживают.
2010-03-09, terminus
DNS zones

Краткий ликбез про управление DNS зонами. Примеры проведения делегирования прямых и обратных DNS зон.
подписка

    вверх      
Статистика сайта
Сейчас на сайте находится: 15 чел.
За последние 30 мин было: 56 человек
За сегодня было
1646 показов,
361 уникальных IP
 

  Этот информационный блок появился по той простой причине, что многие считают нормальным, брать чужую информацию не уведомляя автора (что не так страшно), и не оставляя линк на оригинал и автора — что более существенно. Я не против распространения информации — только за. Только условие простое — извольте подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой, незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
  Если соизволите поставить автора в известность — то вообще почёт вам и уважение.

© lissyara 2006-10-24 08:47 MSK

Время генерации страницы 0.2031 секунд
Из них PHP: 71%; SQL: 29%; Число SQL-запросов: 54 шт.
Исходный размер: 127500; Сжатая: 26552