ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] openswan и NAT-T
@ 2005-03-05 14:07 Alexey Borovskoy
  2005-03-05 21:31 ` Maxim Tyurin
  0 siblings, 1 reply; 7+ messages in thread
From: Alexey Borovskoy @ 2005-03-05 14:07 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 291 bytes --]

Добрый вечер.

Поделитесь пожалуйста конфигом для создания IPSec-туннеля через 
NAT. Все доки которые мне удалось найти, до конца не 
просветляют. До меня не доходит как правильно описывать такой 
туннель.

-- 
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63  2753 E37A 9E3F 11F3 BDE1

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 7+ messages in thread

* Re: [Comm] openswan и NAT-T
  2005-03-05 14:07 [Comm] openswan и NAT-T Alexey Borovskoy
@ 2005-03-05 21:31 ` Maxim Tyurin
  2005-03-06  9:41   ` Alexey Borovskoy
  0 siblings, 1 reply; 7+ messages in thread
From: Maxim Tyurin @ 2005-03-05 21:31 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 612 bytes --]

On Sun, Mar 06, 2005 at 02:07:49AM +1200, Alexey Borovskoy wrote:
> Добрый вечер.
> 
> Поделитесь пожалуйста конфигом для создания IPSec-туннеля через 
> NAT. Все доки которые мне удалось найти, до конца не 
> просветляют. До меня не доходит как правильно описывать такой 
> туннель.

Готового конфига у меня нет но там нет ничего особо отличающегося от другого
туннеля :)

Дока по NAT в REAME соответствующего патча.

Что именно не получается?

P.S. А вообще NAT IPsec гадость и желательно без него обойтись.

-- 

With Best Regards, Maxim Tyurin aka Bungarus
JID:	MrKooll@jabber.pibhe.com

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 7+ messages in thread

* Re: [Comm] openswan и NAT-T
  2005-03-05 21:31 ` Maxim Tyurin
@ 2005-03-06  9:41   ` Alexey Borovskoy
  2005-03-10 12:29     ` Maxim Tyurin
  0 siblings, 1 reply; 7+ messages in thread
From: Alexey Borovskoy @ 2005-03-06  9:41 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 1345 bytes --]

* Воскресенье 06 Март 2005 09:31 Maxim Tyurin 
<mrkooll@bungarus.info>

> On Sun, Mar 06, 2005 at 02:07:49AM +1200, Alexey Borovskoy 
wrote:
> > Добрый вечер.
> >
> > Поделитесь пожалуйста конфигом для создания IPSec-туннеля
> > через NAT. Все доки которые мне удалось найти, до конца не
> > просветляют. До меня не доходит как правильно описывать
> > такой туннель.
>
> Готового конфига у меня нет но там нет ничего особо
> отличающегося от другого туннеля :)
>
> Дока по NAT в REAME соответствующего патча.
>
> Что именно не получается?

Я добавил nat_traversal=yes. Плуто начинает слушать на порту 4500 
(adding interface ipsec0/eth0 10.1.1.1:4500).

Как описать сторону которая за NAT?

В доке на патч вижу следующее:

right=%any
rightsubnet=192.168.1.1/32

Почему так и зачем? Зачем еще ему subnet нужен? right 
терминируется на машине с NAT? А если нужно пройти две машины с 
NAT?

virtual_private=%v4:10.0.0.0/8
right=%any
rightsubnet=vhost:%no,%priv

Это от меня совсем ускользает. Доступную документацию я уже 
прочел в разных направлениях и скурил, а просветления не 
наступает.

> P.S. А вообще NAT IPsec гадость и желательно без него
> обойтись.

Знаю что гадость. Может быть туннель IPSec запихнуть в туннель 
IP-IP, который пропустить через NAT?

-- 
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63  2753 E37A 9E3F 11F3 BDE1

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 7+ messages in thread

* Re: [Comm] openswan и NAT-T
  2005-03-06  9:41   ` Alexey Borovskoy
@ 2005-03-10 12:29     ` Maxim Tyurin
  2005-03-10 18:22       ` [Comm] " Michael Shigorin
  2005-03-11 10:42       ` [Comm] " Alexey Borovskoy
  0 siblings, 2 replies; 7+ messages in thread
From: Maxim Tyurin @ 2005-03-10 12:29 UTC (permalink / raw)
  To: community

Alexey Borovskoy <alexey_borovskoy@mail.ru> writes:

> Я добавил nat_traversal=yes. Плуто начинает слушать на порту 4500 
> (adding interface ipsec0/eth0 10.1.1.1:4500).

Правильно.

>
> Как описать сторону которая за NAT?

Также как и ту что не за NAT :)
Тебе просто нужно в описание туннеля добавить что он через NAT.

>
> В доке на патч вижу следующее:
>
> right=%any
> rightsubnet=192.168.1.1/32
>
> Почему так и зачем? Зачем еще ему subnet нужен? right 
> терминируется на машине с NAT? А если нужно пройти две машины с 
> NAT?

Потому что это описание Road Warrior 

>
> virtual_private=%v4:10.0.0.0/8
> right=%any
> rightsubnet=vhost:%no,%priv
>
> Это от меня совсем ускользает. Доступную документацию я уже 
> прочел в разных направлениях и скурил, а просветления не 
> наступает.

А это для virtual IP
Если тебе такого не нужно просто забей

>
>> P.S. А вообще NAT IPsec гадость и желательно без него
>> обойтись.
>
> Знаю что гадость. Может быть туннель IPSec запихнуть в туннель 
> IP-IP, который пропустить через NAT?

Не знаю. Такого не пробовал.

P.S. А вообще в jabber стучи. Попробуем решить твою проблему.
P.P.S. В рассылку сейчас редко получается заглядывать.
-- 

With Best Regards, Maxim Tyurin aka Bungarus
JID:	MrKooll@jabber.pibhe.com



^ permalink raw reply	[flat|nested] 7+ messages in thread

* [Comm] Re: openswan и NAT-T
  2005-03-10 12:29     ` Maxim Tyurin
@ 2005-03-10 18:22       ` Michael Shigorin
  2005-03-11 10:42       ` [Comm] " Alexey Borovskoy
  1 sibling, 0 replies; 7+ messages in thread
From: Michael Shigorin @ 2005-03-10 18:22 UTC (permalink / raw)
  To: community

On Thu, Mar 10, 2005 at 02:29:25PM +0200, Maxim Tyurin wrote:
> P.S. А вообще в jabber стучи. Попробуем решить твою проблему.
> P.P.S. В рассылку сейчас редко получается заглядывать.

(тихонько) http://lists.osdn.org.ua/wws/info/isp-list
-- чтоб было сразу понятно, куда заглядывать с такими проблемами
:)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 7+ messages in thread

* Re: [Comm] openswan и NAT-T
  2005-03-10 12:29     ` Maxim Tyurin
  2005-03-10 18:22       ` [Comm] " Michael Shigorin
@ 2005-03-11 10:42       ` Alexey Borovskoy
  2005-03-11 13:48         ` Maxim Tyurin
  1 sibling, 1 reply; 7+ messages in thread
From: Alexey Borovskoy @ 2005-03-11 10:42 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 1343 bytes --]

* Пятница 11 Март 2005 00:29 Maxim Tyurin <mrkooll@bungarus.info>

> Alexey Borovskoy <alexey_borovskoy@mail.ru> writes:
> > Я добавил nat_traversal=yes. Плуто начинает слушать на порту
> > 4500 (adding interface ipsec0/eth0 10.1.1.1:4500).
>
> Правильно.
>
> > Как описать сторону которая за NAT?
>
> Также как и ту что не за NAT :)
> Тебе просто нужно в описание туннеля добавить что он через
> NAT.

Тоесть nat_traversal=yes достаточно?

>
> > В доке на патч вижу следующее:
> >
> > right=%any
> > rightsubnet=192.168.1.1/32
> >
> > Почему так и зачем? Зачем еще ему subnet нужен? right
> > терминируется на машине с NAT? А если нужно пройти две
> > машины с NAT?
>
> Потому что это описание Road Warrior

А зачем rightsubnet? Со стороны ноутбука туннель ведь 
терминируется на right.

>
> > virtual_private=%v4:10.0.0.0/8
> > right=%any
> > rightsubnet=vhost:%no,%priv
> >
> > Это от меня совсем ускользает. Доступную документацию я уже
> > прочел в разных направлениях и скурил, а просветления не
> > наступает.
>
> А это для virtual IP

А что это такое?

> P.S. А вообще в jabber стучи. Попробуем решить твою проблему.

Я из дома по диалапу в инет выбираюсь. Jabber для меня сейчас 
очень дорого.

А как посмотреть список возможных криптоалгоритмов?

-- 
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63  2753 E37A 9E3F 11F3 BDE1



[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 7+ messages in thread

* Re: [Comm] openswan и NAT-T
  2005-03-11 10:42       ` [Comm] " Alexey Borovskoy
@ 2005-03-11 13:48         ` Maxim Tyurin
  0 siblings, 0 replies; 7+ messages in thread
From: Maxim Tyurin @ 2005-03-11 13:48 UTC (permalink / raw)
  To: community

Alexey Borovskoy <alexey_borovskoy@mail.ru> writes:

> * Пятница 11 Март 2005 00:29 Maxim Tyurin <mrkooll@bungarus.info>
>
>> Alexey Borovskoy <alexey_borovskoy@mail.ru> writes:
>> > Я добавил nat_traversal=yes. Плуто начинает слушать на порту
>> > 4500 (adding interface ipsec0/eth0 10.1.1.1:4500).
>>
>> Правильно.
>>
>> > Как описать сторону которая за NAT?
>>
>> Также как и ту что не за NAT :)
>> Тебе просто нужно в описание туннеля добавить что он через
>> NAT.
>
> Тоесть nat_traversal=yes достаточно?

Должно быть достаточно.

>
>>
>> > В доке на патч вижу следующее:
>> >
>> > right=%any
>> > rightsubnet=192.168.1.1/32
>> >
>> > Почему так и зачем? Зачем еще ему subnet нужен? right
>> > терминируется на машине с NAT? А если нужно пройти две
>> > машины с NAT?
>>
>> Потому что это описание Road Warrior
>
> А зачем rightsubnet? Со стороны ноутбука туннель ведь 
> терминируется на right.

Вероятнее всего чтоб там был фиксированный IP.

>>
>> > virtual_private=%v4:10.0.0.0/8
>> > right=%any
>> > rightsubnet=vhost:%no,%priv
>> >
>> > Это от меня совсем ускользает. Доступную документацию я уже
>> > прочел в разных направлениях и скурил, а просветления не
>> > наступает.
>>
>> А это для virtual IP
>
> А что это такое?

less /usr/share/doc/openswan-1.0.9/README.NAT-Traversal
Описать можно правила какими могут быть адреса.

>
>> P.S. А вообще в jabber стучи. Попробуем решить твою проблему.
>
> Я из дома по диалапу в инет выбираюсь. Jabber для меня сейчас 
> очень дорого.
>
> А как посмотреть список возможных криптоалгоритмов?

Можно ls /lib/modules/2.4.29-std-up-alt3/kernel/net/ipsec/alg
;)

Ну а лучше 
less /usr/share/doc/openswan-1.0.9/README.ipsec_alg
там красивая табличка с возможными вариантами и с чем эти варианты
совместимы. 

-- 

With Best Regards, Maxim Tyurin aka Bungarus
JID:	MrKooll@jabber.pibhe.com



^ permalink raw reply	[flat|nested] 7+ messages in thread

end of thread, other threads:[~2005-03-11 13:48 UTC | newest]

Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-03-05 14:07 [Comm] openswan и NAT-T Alexey Borovskoy
2005-03-05 21:31 ` Maxim Tyurin
2005-03-06  9:41   ` Alexey Borovskoy
2005-03-10 12:29     ` Maxim Tyurin
2005-03-10 18:22       ` [Comm] " Michael Shigorin
2005-03-11 10:42       ` [Comm] " Alexey Borovskoy
2005-03-11 13:48         ` Maxim Tyurin

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git