FreeS/WAN v tunelovem modu
Ing. Pavel PaJaSoft Janousek
janousek na fonet.cz
Pondělí Prosinec 3 13:55:16 CET 2001
Jan Kasprzak wrote:
> Diky, tohle pomohlo. Zustava ovsem otazka, jestli tuhle konfiguraci
> (IMHO celkem typickou) udelat nejak standardneji.
Predevsim doporucuji predelat _updown skript (nalezajici se nekde v
/usr/lib/ipsec...?) z ipfwadm na ipchains (paklize jadro 2.2. nebo
iptables paklize jadro 2.4.). Duvod je jednoduchy - pokud mate definici
maskarady (a jako ze asi mate), pak ipfwadm pridava pravidla az za ne
(chain forward)! A to je zasadni chyba - provoz pres VPN tunel __nesmi__
maskaradou projit. Proto take je treba (pro jadra 2.2.) v _updown
opravit ipfwadm -a na ipchains -I 1 <ostatni parametry nechat>
Pokud mlzim, omlouvam se, ale v mem pripade to vedlo k uspechu, tedy
aspon tunely, ktere jsem provozoval pote byly funkcni;-). A jeste diky
maskarade doporucuji shlednout parametr [right|left]firewall=yes...
PS: Bohuzel mam pocit, ze zakladni tunelova konfigurace, coz je IMHO
nejcastejsi nasazeni FreeSWANu je v dokumentaci opravdu hodne mlhave, na
mnoha mistech a co vice, kompletni diskuse problematiky chybi... -
doporucuji k pozornosti toto URL, ktere to trosku napravuje:
http://jixen.tripod.com/
PPS: Pokud nektere zde uvedene informace jsou mylne, resp. zavery
vyvozene nejsou pravda a je to pouze postranni efekt, prosim o
informaci, rad se take neco naucim jinak nez hodinama experimentu:-)
[stejne jako Yenya jsem na tom zrejme stravil neskutecne mnoho casu,
kdyz se podivam na vysledny /etc/ipsec.conf...:-(], ze neco 'funguje'
jeste nemusi implikovat k tomu, ze je to skutecne spravne...
-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft) FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz Tel.: +420 5 4324 4749
SMS: mailto:P.Janousek na SMS.Paegas.Cz Fax.: +420 5 4324 4751
WWW: http://WWW.FoNet.Cz/ E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------
Další informace o konferenci Linux