• 

. Если подсеть, обслуживаемая VPN-маршрутизатором, содержит IP-адреса, которые не маршрутизируются обычными средствами (например, если она использует средства NAT), либо если VPN-маршрутизатор выполняет также функции брандмауэра, необходимо задать .

• 

. В качестве значения этой опции задается IP-адрес обычного маршрутизатора, который доставляет пакеты удаленной сети.

• 

. Данная опция указывает на внешний сетевой интерфейс удаленного VPN-маршрутизатора. Подобно , вы можете принять значение этой опции по умолчанию.

• 

. Блок IP-адресов удаленной подсети. В примере, показанном на рис. 26.6, это сеть 192.168.1.0/24.

• 

. Идентификатор "левой" системы. Это может быть IP-адрес, имя домена или имя узла, которому предшествует символ (например, ). Имя узла, перед которым указан символ , означает, что система не должна пытаться преобразовать имя в IP-адрес.

• 

. Значение данной опции идентифицирует "правую" часть VPN-соединения.

• 

. Открытый RSA-ключ из файла на "левой" стороне VPN-соединения.

• 

. Открытый RSA-ключ из файла на "правой" стороне VPN-соединения.

• 

. Эта опция совместно с опциями и определяет, какие соединения должны загружаться и устанавливаться при запуске FreeS/WAN. Если установлены значения и , соединения, соответствующие конфигурации, загружаются, а если заданы значения и , соединения устанавливаются.

Рис. 26.6. Для определения конфигурации FreeS/WAN надо указать адреса, которые используются при формировании VPN

Не имеет значения, какую из систем вы назовете "левой", а какую "правой". Соединению следует присвоить имя, которое идентифицировало бы обе его стороны. Например, если одна из сетей расположена в Бостоне, а другая в Цинциннати, вы можете использовать имя

, а затем называть систему, находящуюся в Бостоне, "левой", а систему, расположенную в Цинциннати, "правой". Одна и та же конфигурация используется на обеих сторонах соединения; FreeS/WAN выясняет, на какой стороне он находится, анализируя существующие сетевые соединения.

Соединение между двумя маршрутизаторами FreeS/WAN устанавливается следующим образом: на одной стороне программа

запускается в режиме демона, а на другой стороне та же программа используется для инициализации соединения. Если настройка выполнена корректно, то соединение должно устанавливаться автоматически, как только программа начнет выполняться на обеих сторонах. Не имеет значения, какая из систем использует программу в режиме демона; в отличие от PPTP, FreeS/WAN не различает клиентскую и серверную системы.

Для того чтобы запустить программу

в режиме демона, надо выполнить команду

После выполнения этой команды система, в зависимости от значений опций

, и , загружает соединение, ожидает установления соединения или инициирует соединение. Если при настройке системы вы указали на обеих сторонах соединения опцию , можете запустить сервер на одной стороне и ожидать запроса на установление соединения, переданного другой системой. Чтобы запрос был передан, надо выполнить команду

При вызове программы

задается имя соединения, например . В результате выполнения данной команды система предпримет попытку установить соединение. Для того чтобы проверить, успешной ли была эта попытка, надо использовать команду . Если в составе ответа будет содержаться таблица маршрутизации VPN, это означает, что соединение было установлено корректно. Вы также можете использовать для проверки обычные программы сетевого обмена, например , или , однако, если удаленная сеть доступна из Internet, эти инструменты не могут подтвердить тот факт, что связь осуществляется именно через VPN.

После окончания настройки сети можно изменить конфигурацию в файле

. Конфигурацию можно скорректировать таким образом, что соединение будет автоматически устанавливаться при выполнении команды . Для запуска сервера FreeS/WAN используется сценарий SysV или локальный сценарий запуска.

Система VPN призвана повысить безопасность при обмене по сети. Однако она же может открыть злоумышленнику доступ к сетевым ресурсам. Взаимодействие компьютеров и сетей посредством VPN условно показано на рис. 26.1, 26.2 и 26.6. Однако из этих рисунков неочевиден тот факт, что многие из соединений по сути представляют собой два соединения. В качестве примера рассмотрим VPN на базе PPTP, в которой сеть использует VPN-маршрутизатор для взаимодействия с компьютерами под управлением Windows. Реально компьютер Windows имеет два интерфейса: один предназначен для обмена средствами VPN, другой представляет собой обычное Internet-соединение. Логическая структура такой системы представлена на рис. 26.7.