> Так. Кажется, я ввел в заблуждение по поводу обязательности transport > mode. > Согласно rfc transport mode is allowed, but not required для случая > host-to-host:)
Дима, ты опять всех путаешь. A host MUST support both transport and tunnel mode. RFC2401 page 10 Вот Security Gateway (система, которая не отправляет IPsec трафик от себя и не получает IPsec трафик для себя) может не поддерживать transport mode. > Но для этого случая нужен дополнительный Security Association, еще один > раздел > conn в конфиге, где бы шлюз фигурировал уже не как шлюз, а как хост. SA не задаются в конфиге. В конфиге задаются Security Policies :) -- Алексей
