>IPSec с натом не очень-то дружит, даже скорее совсем не дружит, поскольку
>для создания SA необходимы реальные достижимые друг от друга ip-адреса, иначе
>машина просто не будет знать, куда посылать пакеты.
>Некоторые улучшения, насколько мне известно, были сделаны в ipfilter (какие-то спец-механизмы), поищите.
>
>Вообще не очень понятна задача. IPSEC для чего нужен? Связать две сети?
>Работать с наружним узлом? Или для чего?
>Можно извратиться исходя из разных условий многими способами.
>1. Ситуация - две внутренних сети, нужно вязать внутренние сервера по IPSEC
>через INET. Решение - на шлюзах поднимаем свой IPSEC для связи
>двух сетей и создания между ними VPN. Получается сервера поверх этого
>VPN будут видеть друг-друга прозрачно. Затем на них поднимаем IPSEC. Как
>связать две сети можно посмотреть хотя бы здесь: http://www.securityportal.ru/network/network.shtml
>2. Ситуация - узел в инете с реальным айпи, и внутренний сервер.
>Решение - два шифрованных канала. Один между шлюзом на BSD и
>внешним сервером, другой между шлюзом и внутренним сервером.
3. Есть n-количество офисов с неизвестным заранее количеством виндов внутри. :-)
Создаются просто туннели на всех GW, прописывается соответствующий рутинг, и можно строить ipsec внутри с чем угодно.
|