.
Настройка такого режима выполняется достаточно просто. Предположим, что нам необходимо "проложить" туннель от хоста, с адресом 10.0.0.216, к хосту, с адресом 10.0.0.11, через сеть 130.161.0.0/16. Для этого, на хосте 10.0.0.216 выполним следующие действия:
>#!/sbin/setkey –f
>flush;
>spdflush;
>add 10.0.0.216 10.0.0.11 esp 34501
> -m tunnel
> -E 3des-cbc "123456789012123456789012";
>spdadd 10.0.0.0/24 130.161.0.0/16 any –P out ipsec
> esp/tunnel/10.0.0.216-10.0.0.11/require;
Обратите внимание на параметр -m tunnel — это очень важно. Сначала конфигурируется шифрование протоколом ESP для защищенного канала (SA) между конечными точками туннеля — 10.0.0.216 и 10.0.0.11.
Затем создается собственно туннель. Эта инструкция указывает ядру на необходимость шифрования всего трафика, который маршрутизируется из сети 10.0.0.0/24 в сеть 130.161.0.0/16. И наконец этот трафик должен быть отправлен хосту 10.0.0.11.
На компьютере 10.0.0.11 также необходимо выполнить некоторую настройку:
>#!/sbin/setkey –f
>flush;
>spdflush;
>add 10.0.0.216 10.0.0.11 esp 34501
> -m tunnel
> -E 3des-cbc "123456789012123456789012";
>spdadd 10.0.0.0/24 130.161.0.0/16 any –P in ipsec
> esp/tunnel/10.0.0.216-10.0.0.11/require;
Если вы были внимательны, то наверняка заметили, что конфигурации обоих узлов сети практически одинаковые. Исключение составляет аргумент -P out, который для 10.0.0.11 изменился на -P in. В отличие от предыдущих примеров, на этот раз мы настроили передачу данных только в одном направлении. "Постройку" второй половины туннеля оставляем вам, в качестве самостоятельного упражнения.
У такой конфигурации есть еще одно название — proxy ESP , которое более точно отражает ее назначение.
Note
Для того, чтобы туннель заработал, в ядре должна быть разрешена возможность форвардинга (IP Forwarding)!