[Comm] openswan и NAT-T

[Alexey Borovskoy]

* Воскресенье 06 Март 2005 09:31 Maxim Tyurin 
<mrkooll на bungarus.info>

> On Sun, Mar 06, 2005 at 02:07:49AM +1200, Alexey Borovskoy 
wrote:
> > Добрый вечер.
> >
> > Поделитесь пожалуйста конфигом для создания IPSec-туннеля
> > через NAT. Все доки которые мне удалось найти, до конца не
> > просветляют. До меня не доходит как правильно описывать
> > такой туннель.
>
> Готового конфига у меня нет но там нет ничего особо
> отличающегося от другого туннеля :)
>
> Дока по NAT в REAME соответствующего патча.
>
> Что именно не получается?

Я добавил nat_traversal=yes. Плуто начинает слушать на порту 4500 
(adding interface ipsec0/eth0 10.1.1.1:4500).

Как описать сторону которая за NAT?

В доке на патч вижу следующее:

right=%any
rightsubnet=192.168.1.1/32

Почему так и зачем? Зачем еще ему subnet нужен? right 
терминируется на машине с NAT? А если нужно пройти две машины с 
NAT?

virtual_private=%v4:10.0.0.0/8
right=%any
rightsubnet=vhost:%no,%priv

Это от меня совсем ускользает. Доступную документацию я уже 
прочел в разных направлениях и скурил, а просветления не 
наступает.

> P.S. А вообще NAT IPsec гадость и желательно без него
> обойтись.

Знаю что гадость. Может быть туннель IPSec запихнуть в туннель 
IP-IP, который пропустить через NAT?

-- 
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63  2753 E37A 9E3F 11F3 BDE1
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: signature
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20050306/b00951c5/attachment-0003.bin>