VPN mezi dvena ruznymi sitemi
Martin Povolný
xpovolny na aurora.fi.muni.cz
Středa Červen 25 08:39:38 CEST 2003
Dne: Wed, Jun 25, 2003 at 08:10:01AM +0200, Xmen2145 napsal:
> http://solnet.cz/ipsec/ipsec.pdf
>
No tento dokument je sice v poradku, a popsany postup funguje (ostatne
proto jsem to psal, ze), ale uuplne posledni cast --- tunelovani
mezi servery a server-->sit jde udelat elegantneji.
Jak me vyskolil Michal Kara, neni treba kopat 4 tunely, staci 1 a upravit
routovaci pravidla ktera prida ipsec pomoci 'ip route'.
Udela se to tak, ze se pridaji updown scripty:
conn fw-mb2
left=xxx.xxx.xxx.xxx
leftsubnet=192.168.6.0/24
right=xxx.xxx.xxx.xxx
......
leftupdown=/etc/network/modify_ipsec_routing
rightupdown=/etc/network/modify_ipsec_routing
a v modify_ipsec_routing
bude neco jako:
if [ "$PLUTO_VERB" == "up-client" ]; then
# We started up. Modify routing.
if [ "$PLUTO_CONNECTION" == "fw-mb2" ]; then
# Main VPN
ip route change 192.168.2.0/24 via xxx.xxx.xxx.xxx dev ipsec0 src 192.168.6.1
#ip route add 192.168.2.0/24 via xxx.xxx.xxx.xxx dev ipsec0 src 192.168.6.1
fi
fi
Ten zakomentovany radek je pro pripad, ze by se ipsecu vubec nepodarilo
routu pridat, coz se mi v jedne konkretni situaci stalo.
Mel bych ten dokument trosku aktualizovat ;-)
--
Martin Povolný, xpovolny na fi.muni.cz, http://www.fi.muni.cz/~xpovolny
Další informace o konferenci Linux