> > > вот в этом и проблема :( а помочь клиенту увидеть правую сеть > никак? > > > если вместо ipsec поставить tunnelv то клиент отлично видит правую > сеть > > > > Думаю, помочь нельзя. Для этого нужен transport mode (причем оба > общающихся хоста должны поддерживать transport mode), который в freeswan > не реализован. Там вроде как только tunnel mode.
Чего-чего? *Какой транспорт моуд*?! Transport mode может использоваться только в одном случае: host1 разговаривает с host2. И они заворачивают трафик в IPsec. Как только появляется Security Gateway (система, которая разворачивает IPsec и отправляет пакет дальше) -- *только* туннель! Или я чего не понял? (Начало обсуждения, как я написал, я не видел) > > Я в этой ситуации использую vtun: он работает на уровне tcp, а не ip. IPsec не работает на уровне IP. IPsec в IPv4 вообще представляет собой грязный хак и работает непонятно на каком уровне :) Поэтому все реализации такие кривые. > у меня с vtun тоже не все получилось. я посторил тунель на ethertap и > вот што получилось - когда даю пинг на другую сторону тунеля первые 2-3 > пакета стабильно теряются :( пришлось от него отказаться, хотя он всем > устраивал Если нужен просто туннель соединить две сетки, я бы завернул ppp в ssh и не мучился :) > > можно почитать rfc2401, а потом поискать ipsec, где этот rfc наиболее > полно реализован. Проблема не только в соответствии реализации RFC (а как, кстати, вы собираетесь ее проверять? Читать исходный текст? Кто-нибудь пробовал читать исходный текст freeswan? Я пробовал и могу сказать, что я не буду никогда использовать -- *особенно* в том, что касается security -- продукт с *таким* исходным текстом. Hint: попробуйте посмотреть в radij.c или как он там называется. На предмет t, tt и ttt :) ) Основная проблема заключается в том, что Security Gateway должен еще как-то взаимодействовать с firewall. RFC на эту тему вообще ничего не говорит. Если у вас весь трафик должен быть завернут в IPsec, это не проблема. А вот если есть и обычный трафик, который фильтруется... Причем не так, как трафик, который был завернут в IPsec... Кстати, о freeswan. 1. Отключать rp_filter -- идиотская идея. Если софт без этого не работает -- выкинуть софт. 2. Я проводил следующий эксперимент месяца три назад: на ping-запросы, отправленные с компьютера с freeswan, и завернутые в IPsec, отвечал plain IP. (Естественно, для этого потребовалось похачить ядро на второй машине). Так вот, все работало. Софт, который себя так ведет по умолчанию -- дрянь. -- Алексей
