[Comm] openswan и NAT-T

[Maxim Tyurin]

Alexey Borovskoy <alexey_borovskoy на mail.ru> writes:

> Я добавил nat_traversal=yes. Плуто начинает слушать на порту 4500 
> (adding interface ipsec0/eth0 10.1.1.1:4500).

Правильно.

>
> Как описать сторону которая за NAT?

Также как и ту что не за NAT :)
Тебе просто нужно в описание туннеля добавить что он через NAT.

>
> В доке на патч вижу следующее:
>
> right=%any
> rightsubnet=192.168.1.1/32
>
> Почему так и зачем? Зачем еще ему subnet нужен? right 
> терминируется на машине с NAT? А если нужно пройти две машины с 
> NAT?

Потому что это описание Road Warrior 

>
> virtual_private=%v4:10.0.0.0/8
> right=%any
> rightsubnet=vhost:%no,%priv
>
> Это от меня совсем ускользает. Доступную документацию я уже 
> прочел в разных направлениях и скурил, а просветления не 
> наступает.

А это для virtual IP
Если тебе такого не нужно просто забей

>
>> P.S. А вообще NAT IPsec гадость и желательно без него
>> обойтись.
>
> Знаю что гадость. Может быть туннель IPSec запихнуть в туннель 
> IP-IP, который пропустить через NAT?

Не знаю. Такого не пробовал.

P.S. А вообще в jabber стучи. Попробуем решить твою проблему.
P.P.S. В рассылку сейчас редко получается заглядывать.
-- 

With Best Regards, Maxim Tyurin aka Bungarus
JID:	MrKooll на jabber.pibhe.com