* [Comm] openswan и NAT-T
@ 2005-03-05 14:07 Alexey Borovskoy
2005-03-05 21:31 ` Maxim Tyurin
0 siblings, 1 reply; 7+ messages in thread
From: Alexey Borovskoy @ 2005-03-05 14:07 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 291 bytes --]
Добрый вечер.
Поделитесь пожалуйста конфигом для создания IPSec-туннеля через
NAT. Все доки которые мне удалось найти, до конца не
просветляют. До меня не доходит как правильно описывать такой
туннель.
--
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63 2753 E37A 9E3F 11F3 BDE1
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] openswan и NAT-T
2005-03-05 14:07 [Comm] openswan и NAT-T Alexey Borovskoy
@ 2005-03-05 21:31 ` Maxim Tyurin
2005-03-06 9:41 ` Alexey Borovskoy
0 siblings, 1 reply; 7+ messages in thread
From: Maxim Tyurin @ 2005-03-05 21:31 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 612 bytes --]
On Sun, Mar 06, 2005 at 02:07:49AM +1200, Alexey Borovskoy wrote:
> Добрый вечер.
>
> Поделитесь пожалуйста конфигом для создания IPSec-туннеля через
> NAT. Все доки которые мне удалось найти, до конца не
> просветляют. До меня не доходит как правильно описывать такой
> туннель.
Готового конфига у меня нет но там нет ничего особо отличающегося от другого
туннеля :)
Дока по NAT в REAME соответствующего патча.
Что именно не получается?
P.S. А вообще NAT IPsec гадость и желательно без него обойтись.
--
With Best Regards, Maxim Tyurin aka Bungarus
JID: MrKooll@jabber.pibhe.com
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] openswan и NAT-T
2005-03-05 21:31 ` Maxim Tyurin
@ 2005-03-06 9:41 ` Alexey Borovskoy
2005-03-10 12:29 ` Maxim Tyurin
0 siblings, 1 reply; 7+ messages in thread
From: Alexey Borovskoy @ 2005-03-06 9:41 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 1345 bytes --]
* Воскресенье 06 Март 2005 09:31 Maxim Tyurin
<mrkooll@bungarus.info>
> On Sun, Mar 06, 2005 at 02:07:49AM +1200, Alexey Borovskoy
wrote:
> > Добрый вечер.
> >
> > Поделитесь пожалуйста конфигом для создания IPSec-туннеля
> > через NAT. Все доки которые мне удалось найти, до конца не
> > просветляют. До меня не доходит как правильно описывать
> > такой туннель.
>
> Готового конфига у меня нет но там нет ничего особо
> отличающегося от другого туннеля :)
>
> Дока по NAT в REAME соответствующего патча.
>
> Что именно не получается?
Я добавил nat_traversal=yes. Плуто начинает слушать на порту 4500
(adding interface ipsec0/eth0 10.1.1.1:4500).
Как описать сторону которая за NAT?
В доке на патч вижу следующее:
right=%any
rightsubnet=192.168.1.1/32
Почему так и зачем? Зачем еще ему subnet нужен? right
терминируется на машине с NAT? А если нужно пройти две машины с
NAT?
virtual_private=%v4:10.0.0.0/8
right=%any
rightsubnet=vhost:%no,%priv
Это от меня совсем ускользает. Доступную документацию я уже
прочел в разных направлениях и скурил, а просветления не
наступает.
> P.S. А вообще NAT IPsec гадость и желательно без него
> обойтись.
Знаю что гадость. Может быть туннель IPSec запихнуть в туннель
IP-IP, который пропустить через NAT?
--
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63 2753 E37A 9E3F 11F3 BDE1
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] openswan и NAT-T
2005-03-06 9:41 ` Alexey Borovskoy
@ 2005-03-10 12:29 ` Maxim Tyurin
2005-03-10 18:22 ` [Comm] " Michael Shigorin
2005-03-11 10:42 ` [Comm] " Alexey Borovskoy
0 siblings, 2 replies; 7+ messages in thread
From: Maxim Tyurin @ 2005-03-10 12:29 UTC (permalink / raw)
To: community
Alexey Borovskoy <alexey_borovskoy@mail.ru> writes:
> Я добавил nat_traversal=yes. Плуто начинает слушать на порту 4500
> (adding interface ipsec0/eth0 10.1.1.1:4500).
Правильно.
>
> Как описать сторону которая за NAT?
Также как и ту что не за NAT :)
Тебе просто нужно в описание туннеля добавить что он через NAT.
>
> В доке на патч вижу следующее:
>
> right=%any
> rightsubnet=192.168.1.1/32
>
> Почему так и зачем? Зачем еще ему subnet нужен? right
> терминируется на машине с NAT? А если нужно пройти две машины с
> NAT?
Потому что это описание Road Warrior
>
> virtual_private=%v4:10.0.0.0/8
> right=%any
> rightsubnet=vhost:%no,%priv
>
> Это от меня совсем ускользает. Доступную документацию я уже
> прочел в разных направлениях и скурил, а просветления не
> наступает.
А это для virtual IP
Если тебе такого не нужно просто забей
>
>> P.S. А вообще NAT IPsec гадость и желательно без него
>> обойтись.
>
> Знаю что гадость. Может быть туннель IPSec запихнуть в туннель
> IP-IP, который пропустить через NAT?
Не знаю. Такого не пробовал.
P.S. А вообще в jabber стучи. Попробуем решить твою проблему.
P.P.S. В рассылку сейчас редко получается заглядывать.
--
With Best Regards, Maxim Tyurin aka Bungarus
JID: MrKooll@jabber.pibhe.com
^ permalink raw reply [flat|nested] 7+ messages in thread
* [Comm] Re: openswan и NAT-T
2005-03-10 12:29 ` Maxim Tyurin
@ 2005-03-10 18:22 ` Michael Shigorin
2005-03-11 10:42 ` [Comm] " Alexey Borovskoy
1 sibling, 0 replies; 7+ messages in thread
From: Michael Shigorin @ 2005-03-10 18:22 UTC (permalink / raw)
To: community
On Thu, Mar 10, 2005 at 02:29:25PM +0200, Maxim Tyurin wrote:
> P.S. А вообще в jabber стучи. Попробуем решить твою проблему.
> P.P.S. В рассылку сейчас редко получается заглядывать.
(тихонько) http://lists.osdn.org.ua/wws/info/isp-list
-- чтоб было сразу понятно, куда заглядывать с такими проблемами
:)
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] openswan и NAT-T
2005-03-10 12:29 ` Maxim Tyurin
2005-03-10 18:22 ` [Comm] " Michael Shigorin
@ 2005-03-11 10:42 ` Alexey Borovskoy
2005-03-11 13:48 ` Maxim Tyurin
1 sibling, 1 reply; 7+ messages in thread
From: Alexey Borovskoy @ 2005-03-11 10:42 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 1343 bytes --]
* Пятница 11 Март 2005 00:29 Maxim Tyurin <mrkooll@bungarus.info>
> Alexey Borovskoy <alexey_borovskoy@mail.ru> writes:
> > Я добавил nat_traversal=yes. Плуто начинает слушать на порту
> > 4500 (adding interface ipsec0/eth0 10.1.1.1:4500).
>
> Правильно.
>
> > Как описать сторону которая за NAT?
>
> Также как и ту что не за NAT :)
> Тебе просто нужно в описание туннеля добавить что он через
> NAT.
Тоесть nat_traversal=yes достаточно?
>
> > В доке на патч вижу следующее:
> >
> > right=%any
> > rightsubnet=192.168.1.1/32
> >
> > Почему так и зачем? Зачем еще ему subnet нужен? right
> > терминируется на машине с NAT? А если нужно пройти две
> > машины с NAT?
>
> Потому что это описание Road Warrior
А зачем rightsubnet? Со стороны ноутбука туннель ведь
терминируется на right.
>
> > virtual_private=%v4:10.0.0.0/8
> > right=%any
> > rightsubnet=vhost:%no,%priv
> >
> > Это от меня совсем ускользает. Доступную документацию я уже
> > прочел в разных направлениях и скурил, а просветления не
> > наступает.
>
> А это для virtual IP
А что это такое?
> P.S. А вообще в jabber стучи. Попробуем решить твою проблему.
Я из дома по диалапу в инет выбираюсь. Jabber для меня сейчас
очень дорого.
А как посмотреть список возможных криптоалгоритмов?
--
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63 2753 E37A 9E3F 11F3 BDE1
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] openswan и NAT-T
2005-03-11 10:42 ` [Comm] " Alexey Borovskoy
@ 2005-03-11 13:48 ` Maxim Tyurin
0 siblings, 0 replies; 7+ messages in thread
From: Maxim Tyurin @ 2005-03-11 13:48 UTC (permalink / raw)
To: community
Alexey Borovskoy <alexey_borovskoy@mail.ru> writes:
> * Пятница 11 Март 2005 00:29 Maxim Tyurin <mrkooll@bungarus.info>
>
>> Alexey Borovskoy <alexey_borovskoy@mail.ru> writes:
>> > Я добавил nat_traversal=yes. Плуто начинает слушать на порту
>> > 4500 (adding interface ipsec0/eth0 10.1.1.1:4500).
>>
>> Правильно.
>>
>> > Как описать сторону которая за NAT?
>>
>> Также как и ту что не за NAT :)
>> Тебе просто нужно в описание туннеля добавить что он через
>> NAT.
>
> Тоесть nat_traversal=yes достаточно?
Должно быть достаточно.
>
>>
>> > В доке на патч вижу следующее:
>> >
>> > right=%any
>> > rightsubnet=192.168.1.1/32
>> >
>> > Почему так и зачем? Зачем еще ему subnet нужен? right
>> > терминируется на машине с NAT? А если нужно пройти две
>> > машины с NAT?
>>
>> Потому что это описание Road Warrior
>
> А зачем rightsubnet? Со стороны ноутбука туннель ведь
> терминируется на right.
Вероятнее всего чтоб там был фиксированный IP.
>>
>> > virtual_private=%v4:10.0.0.0/8
>> > right=%any
>> > rightsubnet=vhost:%no,%priv
>> >
>> > Это от меня совсем ускользает. Доступную документацию я уже
>> > прочел в разных направлениях и скурил, а просветления не
>> > наступает.
>>
>> А это для virtual IP
>
> А что это такое?
less /usr/share/doc/openswan-1.0.9/README.NAT-Traversal
Описать можно правила какими могут быть адреса.
>
>> P.S. А вообще в jabber стучи. Попробуем решить твою проблему.
>
> Я из дома по диалапу в инет выбираюсь. Jabber для меня сейчас
> очень дорого.
>
> А как посмотреть список возможных криптоалгоритмов?
Можно ls /lib/modules/2.4.29-std-up-alt3/kernel/net/ipsec/alg
;)
Ну а лучше
less /usr/share/doc/openswan-1.0.9/README.ipsec_alg
там красивая табличка с возможными вариантами и с чем эти варианты
совместимы.
--
With Best Regards, Maxim Tyurin aka Bungarus
JID: MrKooll@jabber.pibhe.com
^ permalink raw reply [flat|nested] 7+ messages in thread
end of thread, other threads:[~2005-03-11 13:48 UTC | newest]
Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-03-05 14:07 [Comm] openswan и NAT-T Alexey Borovskoy
2005-03-05 21:31 ` Maxim Tyurin
2005-03-06 9:41 ` Alexey Borovskoy
2005-03-10 12:29 ` Maxim Tyurin
2005-03-10 18:22 ` [Comm] " Michael Shigorin
2005-03-11 10:42 ` [Comm] " Alexey Borovskoy
2005-03-11 13:48 ` Maxim Tyurin
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git