[Comm] openswan и NAT-T

Пт Мар 11 16:48:29 MSK 2005

Alexey Borovskoy <alexey_borovskoy на mail.ru> writes:

> * Пятница 11 Март 2005 00:29 Maxim Tyurin <mrkooll на bungarus.info>
>
>> Alexey Borovskoy <alexey_borovskoy на mail.ru> writes:
>> > Я добавил nat_traversal=yes. Плуто начинает слушать на порту
>> > 4500 (adding interface ipsec0/eth0 10.1.1.1:4500).
>>
>> Правильно.
>>
>> > Как описать сторону которая за NAT?
>>
>> Также как и ту что не за NAT :)
>> Тебе просто нужно в описание туннеля добавить что он через
>> NAT.
>
> Тоесть nat_traversal=yes достаточно?

Должно быть достаточно.

>
>>
>> > В доке на патч вижу следующее:
>> >
>> > right=%any
>> > rightsubnet=192.168.1.1/32
>> >
>> > Почему так и зачем? Зачем еще ему subnet нужен? right
>> > терминируется на машине с NAT? А если нужно пройти две
>> > машины с NAT?
>>
>> Потому что это описание Road Warrior
>
> А зачем rightsubnet? Со стороны ноутбука туннель ведь 
> терминируется на right.

Вероятнее всего чтоб там был фиксированный IP.

>>
>> > virtual_private=%v4:10.0.0.0/8
>> > right=%any
>> > rightsubnet=vhost:%no,%priv
>> >
>> > Это от меня совсем ускользает. Доступную документацию я уже
>> > прочел в разных направлениях и скурил, а просветления не
>> > наступает.
>>
>> А это для virtual IP
>
> А что это такое?

less /usr/share/doc/openswan-1.0.9/README.NAT-Traversal
Описать можно правила какими могут быть адреса.

>
>> P.S. А вообще в jabber стучи. Попробуем решить твою проблему.
>
> Я из дома по диалапу в инет выбираюсь. Jabber для меня сейчас 
> очень дорого.
>
> А как посмотреть список возможных криптоалгоритмов?

Можно ls /lib/modules/2.4.29-std-up-alt3/kernel/net/ipsec/alg
;)

Ну а лучше 
less /usr/share/doc/openswan-1.0.9/README.ipsec_alg
там красивая табличка с возможными вариантами и с чем эти варианты
совместимы. 

-- 

With Best Regards, Maxim Tyurin aka Bungarus
JID:	MrKooll на jabber.pibhe.com