From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <abmagic@rambler.ru>
From: Alex Borisov <abmagic@rambler.ru>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Date: Sun, 18 Feb 2007 00:39:19 +0300
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset="windows-1251"; format="flowed"
MIME-Version: 1.0
References: <20070217181641.30fd9bb1@shadow.orionagro.com.ua>
	<138560639.1171746410.157091780.81236@mcgi17.rambler.ru>
In-Reply-To: <138560639.1171746410.157091780.81236@mcgi17.rambler.ru>
Message-Id: <507235206.1171748359.174269240.85305@mcgi23.rambler.ru>
Subject: Re: [Sysadmins] =?windows-1251?b?z+7x8vDu6PL8IFZQTi4=?=
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.9rc1
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Sat, 17 Feb 2007 21:39:19 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/507235206.1171748359.174269240.85305@mcgi23.rambler.ru/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

* Alex Borisov <abmagic@rambler.ru> [Sun, 18 Feb 2007 00:06:50 +0300]:
> > Есть необходимость построить VPN...
> > С одной стороны (филиал) имеем:
> > D-Link DSL-524T, 3 рабочие станции (не Linux).
> > D-Link обеспечивает выход в Инет в режиме маршрутизатора,
> > получает динамический адрес.
>
> я бы поставил в филиале linux-маршрутизатор с openswan
> инициатор соединения филиал (так как адрес динамический),
> авторизация по RSA

в общем можно попробовать что-то вроде этого:

в филиале:

nat_traversal=yes

conn head
	type=tunnel
	rekey=no
	# Left security gateway, subnet behind it, next hop toward 
right.
                # головной офис
	left=<IP_adress_HEAD_linux_box>
	leftnexthop=<IP_adress_gateway_HEAD_office>
	leftsubnet=192.168.1.0/24
	leftid=@head.firma.ru
	leftrsasigkey="0 ................."

	# Right security gateway, subnet behind it, next hop toward 
left.
                # филиал
	right=<IP_adress_linux_box>
	rightnexthop=<IP_adress_LAN_DLINK>
	rightsubnet=192.168.2.0/24
	rightid=@filial.firma.ru
	rightrsasigkey="0"

	authby=rsasig
                auto=start

# =======================
в головном офисе:
nat_traversal=yes

conn filial
	type=tunnel
	rekey=no
	# Left security gateway, subnet behind it, next hop toward 
right.
	left=%any
	leftsubnet=192.168.2.0/24
	leftid=@filial.firma.ru
	leftrsasigkey="0.........."

	# Right security gateway, subnet behind it, next hop toward 
left.
	right=<IP_adress_HEAD_linux_box>
	rightnexthop=<IP_adress_gateway_HEAD_office>
	rightsubnet=192.168.1.0/24
	rightid=@head.firma.ru
	rightrsasigkey="0..................

	authby=rsasig
                auto=add

----------------------