On Tuesday 05 June 2007 15:54, Florin Popovici wrote:
> On 6/5/07, Dizzy <[EMAIL PROTECTED]> wrote:
> > Salut
> > [...]
> >
> > Ceva idei?
>
> Revin cu o idee ceva mai utila: man setkey, vezi "flush".
Nu a fost legat de "flush" dar tot cu setkey. Aparent openswan este intradevar
complet stupid de ignora regulele de rutare. Avand reteaua locala
(rightsubnet) cu adrese incluse in cea mare (leftsubnet) atunci openswan e
destul de prost incat sa nu considere regulile de rutare sau macar o regula
elementara de specificitate (asemanator rutarii) in cadrul configurarii lui
si vazand el acolo ca pachetul intra in "leftsubnet" le trimite pe exterior.
Pt rezolvare a trebuit adaugat un script sa ruleze inainte de pluto care cu
setkey creaza policy sa nu se cripteze traficul originat din reteaua locala
direct conectata (inclusiv masina proprie) catre aceeasi retea (lol).
Ceva de genul:
#!/usr/sbin/setkey -f
spdadd 10.0.1.0/24[any] 10.0.1.0/24[any] any -P out none;
spdadd 10.0.1.0/24[any] 10.0.1.0/24[any] any -P in none;
--
Mihai RUSU Email: [EMAIL PROTECTED]
"Linux is obsolete" -- AST
_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug
