Dear [EMAIL PROTECTED], Проблема в том, что Вы используете ядерную реализацию IPSEC (K2.4.27-3-686). Если её отключить и наложить патч KLIPS от Openswan то "будет Вам счастье" ;-) Собственно для этого он и существует для 2.6 ядер
> > В сообщении от 10 Июль 2006 17:14 [EMAIL PROTECTED] написал(a): > >> Система Debian 3.1. > >> Openswan IPsec U2.2.0/K2.4.27-3-686. > >> > >> Туннели работают все нормально, не хватает чтобы интерфейс > >> ipsec0 подымался, правила iptables писать проще и легче > >> ну и понятней. > >> > >> Что необходимо сделать, чтобы при работе (запуске) > >> openswan создавал интерфейс ipsec0. > > > Имел маленький опыт с этим делом. Вообще у меня по дефолту создавались > > три интерфейса ipsec0, ipsec1 и ipsec2. Зачем они нужны я так и не > > понял. Но я точно понял, что это не тунели а также, что это не совсем > > сетевой интерфейс. Ему можно конечно назначить IP-адрес, но работает > > там все как-то по другому. Хотя я может быть и гоню. Но дока у них > > до жути кривая. > > > -- > > Макс > > Вот именно, что и не создаются, как был исходящий eth0 так и остался > и если натравить tcpdump на него то мы увидим как и шифрованный пакет > так и не шифрованный. > > Вот простой пример > > необходимо разрешить чтобы уделенные сети обменивались трафиком между > собой > > пишем > > iptables -A FORWARD -i eth0 -s 1 сеть -o eth1 -d 2 сеть -j ACCEPT > > Вроде все красиво, работает, но то есть небольшая дыра, можно > предположить если на внешний интерфейс действительно придет пакет (не > из туннеля) но от хоста с ip 1 сети то он благополучно попадет во внутреннею > сеть. > > Если не прав поправите. > > А если есть ipsec0 то будет уже по-другому. > > iptaples -A FORWARD -i ipsec0 -s 1 сеть -o eth1 -d 2 сеть -j ACCEPT > > вот тогда все красиво. > > > > > > -- With best regards, Vlad Solopchenko. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
