BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 2 ] 
Автор Сообщение
 Заголовок сообщения: Правила для Setkey
СообщениеДобавлено: Пт 03 сен, 2004 5:26 pm 
Не в сети

Зарегистрирован: Пт 03 сен, 2004 5:24 pm
Сообщения: 1
Задача: поключить все компьютеры сети 10.1.0.0/16 к интернет через шлюз 10.1.0.1. причём защитить соединения ipsec'ом в туннельном режиме: правилами такого вида:
spdadd 10.1.0.0/16 0.0.0.0/0 any -P out ipsec
esp/tunnel/10.1.0.2-10.1.0.1/require;
spdadd ..... in....
...................
Используется freebsd-5.2.1-p9, racoon - самый свежий из портов.

проблема 1: как сказано в мане по setkey - для использования туннельного режима - необходимо явно указывать ип-адреса 2х точек между которыми должен создаваться туннель.
проблема 2: даже если я пропишу каждый хост сети такими правилами - всплыло, что в setkey можно загрузить правил не более чем на 64кБ причем грузить командой setkey -f file кусками не более чем по 45кБ каждый (Ну или может быть они там в штуках считаются.. у меня получилось штук 259 правил всего загружать в 2 этапа по 130 штук).

вопрос 1: возможно ли всё таки создать какое нибудь правило, чтоб не указывать 254хN - туннелей в виде 2х254хN кол-ва правил.
вопрос 2: есть ли какая то штука, которая автоматом будет динамически задавать системе sa-правила по... скажем определённым шаблонам.
впорос 3: если уж всё бесполезно и придётся создавать кучу однотипных правил (что я сейчас и сделал) - как setkey`ем загрузить правил больше чем 64кБ в текстовом виде или где-то 260 штук ???
вопрос 4: есть ли ограничение в freebsd-5.2.1-p9 на кол-во ипсечных соединений?

просто комментарий: всплыло то,что в freebsd-5.2.1-p9 - ipsec заданный в ядре опциями ipsec..и т.п. - не работал, пересобрал ядро с fast_ipsec - всё заработоло.. - это только я что-то не так делаю? у кого-нть были такие проблемы?

Заранее спасибо, всем откликнувшимся!


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 20 окт, 2004 9:13 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 31 окт, 2003 5:58 am
Сообщения: 121
Откуда: Белгород
http://www.freebsd.org.ua/doc/ru_RU.KOI ... ipsec.html


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 2 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Majestic-12 [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика