VPN tunnel pomiedzy 'Linksys Wireless-G ADSL gateway' a racoon (ipsec-tools)
Mikolaj Kucharski
build w kompuart.pl
Śro, 9 Lis 2005, 11:05:08 CET
On Wed, Nov 09, 2005 at 10:43:24AM +0100, Maciej Pijanka wrote:
> > setkey moze "dostac regoly" od racoon (man racoon.conf: generate_policy),
> > ale to mnie nie ratuje, bo przy autoryzacji poprzez pre-shared-key
> > racoon nie wie jak odnalezc ``peers_identifier'' bo Linksys przedstawia
> > sie (zmiennym) ip, co uniemozliwia autoryzacje po kazdej zmianie IP.
> >
> > Certyfikatow nie wspiera. Teraz bede kombinowal odwrotnie, niech staty IP
> > laczy sie jako road-warrior do zmiennego IP po domenie dyndns, nie wiem
> > czy sie tak da, bo dopiero do tego siadam (co za porazka).
>
> tutaj roadwarrior laczy sie do stalego ip, a stale ip sprawdza czy w
> momecie polaczenia ip ktore zwraca domena z dyndns jest zgodne z
> polaczeniem, i to dziala
Bo taka jest idea road-warriorow :) Zmienny IP laczy sie do stalego,
spoko, ja to wiem. A to ze dziala to wiadomo ze tak powinno dzialc,
tylko nie mozna autoryzowac po czyms co sie zmiena, to tez wiadomo.
Dlatego mozna zasotsowac proteze, o ktorej piszesz ponizej, tez
wiadomo..
> jesli masz mozliwosc sprawdzania co godzine czy ip na dyndns sie zmienilo
> to mozna zrobic skrypt ktory modyfikuje plik cfg racoona i tam
> podmienia ipiki...
No mam, oczywiscie ze mam, ale to jest tak brzydkie ze nie zrobie
tego, poki nie wycisne co sie da..
> rozwiazanie nieladne ale bedzie dzialac, ladniej byloby poprawic cos w
> racoonie zeby rozumial ze ma za peerid brac ip ktore zwroci dns dla
> domeny = costam.. wtedy mialbys rozwiazanie najbardziej cacy
To nie ma jak dzialac. On nie widzi dyndns'a bo jak ma widziec, skoro
wszedzie ma podane IP, a pozatym polaczenie jest anonymous, wiec moge
miec wiecej takich Linksysow na zmiennym IP, kazdemu ustawic inny
pre-shared-key (bo tak chce, bo tak lepiej) i jak zdefiniujesz to w
takim polaczeniu ``anonymous'' -- sprawdzaj 10 domen dyndns, jesli
ktoras pasuje to znaczy ze to nasz linksys. E-e, tak nie da rady..
Racoon dziala ok, tak jak powinien.
Fakt, ze pisze tutaj caly czas o polaczeniu anonymous po stronie racoon.
Jak pisalem wczesniej, przyjmuje teraz taktyke odwrotna, anonymous po
stronie linksys'a, a racoon ma sie laczyc po domenie dyndns, tylko tak
sie chyba nie da.
--
best regards
q#
Więcej informacji o liście dyskusyjnej pld-users-pl