FreeS/WAN v tunelovem modu

Ing. Pavel PaJaSoft Janousek janousek na fonet.cz
Pondělí Prosinec 3 13:55:16 CET 2001 

Jan Kasprzak wrote:
>         Diky, tohle pomohlo. Zustava ovsem otazka, jestli tuhle konfiguraci
> (IMHO celkem typickou) udelat nejak standardneji.

	Predevsim doporucuji predelat _updown skript (nalezajici se nekde v
/usr/lib/ipsec...?) z ipfwadm na ipchains (paklize jadro 2.2. nebo
iptables paklize jadro 2.4.). Duvod je jednoduchy - pokud mate definici
maskarady (a jako ze asi mate), pak ipfwadm pridava pravidla az za ne
(chain forward)! A to je zasadni chyba - provoz pres VPN tunel __nesmi__
maskaradou projit. Proto take je treba (pro jadra 2.2.) v _updown
opravit ipfwadm -a na ipchains -I 1 <ostatni parametry nechat>

	Pokud mlzim, omlouvam se, ale v mem pripade to vedlo k uspechu, tedy
aspon tunely, ktere jsem provozoval pote byly funkcni;-). A jeste diky
maskarade doporucuji shlednout parametr [right|left]firewall=yes...

PS: Bohuzel mam pocit, ze zakladni tunelova konfigurace, coz je IMHO
nejcastejsi nasazeni FreeSWANu je v dokumentaci opravdu hodne mlhave, na
mnoha mistech a co vice, kompletni diskuse problematiky chybi... -
doporucuji k pozornosti toto URL, ktere to trosku napravuje:
http://jixen.tripod.com/

PPS: Pokud nektere zde uvedene informace jsou mylne, resp. zavery
vyvozene nejsou pravda a je to pouze postranni efekt, prosim o
informaci, rad se take neco naucim jinak nez hodinama experimentu:-)
[stejne jako Yenya jsem na tom zrejme stravil neskutecne mnoho casu,
kdyz se podivam na vysledny /etc/ipsec.conf...:-(], ze neco 'funguje'
jeste nemusi implikovat k tomu, ze je to skutecne spravne...

-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)                 FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet          Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz             Tel.: +420  5  4324 4749
SMS:    mailto:P.Janousek na SMS.Paegas.Cz      Fax.: +420  5  4324 4751
WWW:    http://WWW.FoNet.Cz/               E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------

Další informace o konferenci Linux