Конфигурационный файл FreeS/WAN “/etc/ipsec.conf” позволяет вам настраивать вашу конфигурацию IPSEC, контролируя информацию и типы соединений. IPSEC сейчас поддерживает два типа соединений: снабжаемые ключами вручную и автоматически снабжаемые ключами. Соединения снабжаемые ключами вручную используют ключи, хранящиеся в файле “/etc/ipsec.conf”. Этот тип соединений менее безопасен чем соединения автоматически снабжаемые ключами, которые используют ключи автоматически создаваемые демоном согласования ключей Pluto. Протокол согласования ключей, используемый по умолчанию и называемый IKE, устанавливает подлинность других систем используя совместный секрет, хранящийся в файле “/etc/ipsec.secrets”. Мы будем использовать соединения автоматически снабжаемые ключами, так как они более безопасные чем их ручной аналог.
В нашем примерном конфигурационном файле приведенном ниже, мы настраиваем проходящий через брандмауэр туннель, и принимаем, что сетевой брандмауэр корректно работает на обоих концах туннеля. Мы выбрали эту конфигурацию, так как она представляется нам наиболее универсальной, пригодной для большинства пользователей. Также, она позволяет нам поиграться с большим числом опций конфигурационного файла “ipsec.conf”.
Существуют другие конфигурации и вы можете прочитать файлы из подкаталога “doc/examples” для получения большей информации о них.
SubnetDeep==Deep--Deepgate.................Mailgate--Mail==SubnetMail Untrusted net
leftsubnet = SubnetDeep (192.168.1.0/24)
left = Deep (deep.openna.com)
leftnexthop = Deepgate (первый маршрутизатор в направлении или маршрутизатор провайдера для deep.openna.com)
Internet = Untrusted net
rightnexthop = Mailgate (первый маршрутизатор в направлении или маршрутизатор провайдера для mail.openna.com)
right = Mail (mail.openna.com)
rightsubnet = SubnetMail (192.168.1.0/24)
SubnetDeep \ 192.168.1.0/24 / +--------------------+ | Deep \ 208.164.186.1 / +--------------------+ | Deepgate \ 205.151.222.250 / +--------------------+ | I N T E R N E T | Mailgate / 205.151.222.251 \ +-------------------+ | Mail / 208.164.186.2 \ +------------------+ | SubnetMail / 192.168.1.0/24 \ +-------------------+