к INVALID говорить про те, що пакет не може бути ідентифікований і тому не може мати певного статусу. Це може відбуватися з різних причин, наприклад при нестачі пам'яті або при отриманні ICMP-повідомлення про помилку, яке не відповідає якому або відомому з'єднанню. Напевно найкращим варіантом було б застосування дії DROP до таких пакетам.
2.3.2 Налаштування VPN тунелю на основі протоколу IPsec
Рис 6 канали зв'язку.
Основними файлами налаштувань FreeS/WAN є файли:
* /etc/ipsec.conf;*/etc/ipsec.secrets.
Для конфігурування шлюзів віртуальної приватної мережі, яку організує за допомогою FreeS/WAN, на обох шлюзах необхідно виконати наступні настройки.
Відредагуємо у відповідності з нашими потребами файл /etc/ipsec.conf.
У розглянутому прикладі:
# /etc/ipsec.conf - конфігураційний файл FreeS/WAN
# Приклади конфігураційних файлів знаходяться в каталозі
# doc/examples вихідних кодов.setup
# Мережевий інтерфейс, використовуваний IPSec= IPSEC0=eth0
# Заборона на видачу налагоджувальних повідомлень
# all - включення видачі налагоджувальних повідомлень=none=none
# Автоматична установка з'єднань і аутентифікація
# при запуску IPSec =% search =% search
# Параметри з'єднання між локальними мережами
# Назва з'єднання (довільна рядок) Moscow_Fil
# Вихідні дані для шлюзу в Москвe
# IP адреса=212.45.28.123
# Опис локальної мережі=192.168.150.0/24
# IP найближчого до шлюзу в Москві роутера
# (може бути визначений за допомогою traceroute)=62.117.82.145
# Вихідні дані для шлюзу у філії
# IP адреса=212.111.80.21
# Опис локальної мережі=192.168.1.0/24
# IP найближчого до шлюзу у філії роутера=212.111.78.1
# Кількість спроб перевірки ключів
# 0 - до досягнення позитивного результату=0
# Тип аутентифікації (AH або ESP)=ah
# Опції встановлювані для використання RSA-ключів=rsasig==
# Встановлювати з'єднання при запуску IPSec=start
ЗАУВАЖЕННЯ Файли на обох шлюзах повинні бути ідентичні з точністю до значення параметра interfaces, яке повинно відповідати імені зовнішнього інтерфейсу шлюзу.
У розглянутому прикладі файл /etc/ipsec.conf складається з двох розділів.
Перший розділ - config setup - містить загальні опції конфігурації, які використовуються усіма сполуками.
Опція interfaces= IPSEC0=eth0 визначає мережевий пристрій для інтерфейсу IPSec. В даному випадку це перша мережева карта. При використанні значення за замовчуванням, тобто interfaces =% defaultroute, як мережевого інтерфейсу буде вибрано пристрій, що використовується для з'єднання з Інтернет або локальною мережею.
Опція plutoload =% search визначає з'єднання, автоматично завантажуються в пам'ять при старті демона pluto. Значення опції за умовчанням none забороняє завантаження всіх сполук,% search - завантажує всі з'єднання з встановленим значенням опції auto=start або auto=add. Як значення опції може використовуватися ім'я з'єднання, наприклад, plutoload= Moscow-Fil або список імен сполук, розділених пробілами.
Опція plutostart =% search визначає з'єднання, автоматично встановлюються при старті демона pluto. Значення опції за умовчанням none забороняє установку всіх з'єднань,% search - встановлює всі з'єднання з встановленим значенням опції auto=start. Як значення опції може використовуватися ім'я з'єднання, наприклад, plutoload= Moscow-Fil або список імен сполук, розділених пробілами.
У другому розділі - conn Moscow-Fil - встановлюються опції, що мають відношення тільки до певного з'єднанню, у нашому прикладі, з'єднанню з ім'ям Moscow-Fil.
Опції left=212.45.28.123 і right=212.111.80.21 визначають, відповідно, IP-адреса шлюзу у м Москві і філії.
Опція leftsubnet=192.168.1.0/24 визначає параметри локальних мереж у м Москві і філії.
Опція leftnexthop=62.117.82.145 і rightnexthop=212.111.78.1, відповідно, IP-адреси найближчих до шлюзів у м Москві і у філії роутерів.
Опція keyingtries=0 визначає максимальну кількість спроб обміну ключами при установці з'єднання. Значення опції рівне 0, встановлюване за замовчуванням, припускає необмежену (до отримання позитивного результату) кількість спроб.
Опція auth=ah визначає протокол аутентифікації даних (AH або ESP).
Опція authby=rsasig використовується для включення підтримки перевірки автентичності з'єднання з використанням RSA-ключів.
Опція auto=start визначає операції, які повинні бути виконані при запуску IPSec. При встановленні значення start - з'єднання повинно бути встановлено автоматично, add параметри з'єднання повинні бути завантажені в пам'ять./WAN підтримує два формати ключів, використовуваних демоном pluto для перевірки автентичност...
