IPSEC_AUTO(8) IPSEC_AUTO(8)


NAZWA
ipsec auto - sterowanie automatycznie kluczowanymi
połączeniami IPSEC

SKŁADNIA
ipsec auto [--show] [--showonly] [--asynchronous]
[--config plik_konfiguracyjny] [--verbose]
operacja połączenie

ipsec auto [--show] [--showonly] operacja

OPIS
Auto manipuluje automatycznie kluczowanymi połączeniami
FreeS/WAN IPSEC, podnosi je i wyłącza, zależnie od infor�
macji w pliku konfiguracyjnym IPSEC. W przypadku zwykłego
użycia, połączenie jest nazwą połączenia wyspecyfikowanego
w pliku konfiguracyjnym; operacja zaś może być ustawiona
na --add, --delete, --replace, --up, --down, --route lub
--unroute. Operacje --ready, --rereadsecrets i --status
nie pobierają nazwy połączenia. Auto generuje stosowne
komendy i zapodaje je do powłoki w celu wykonania.

Operacja --add dodaje specyfikację połączenia do
wewnętrznej bazy pluto; nie powiedzie się to jeśli pluto
już ma określone połączenie pod tą nazwą. Operacja
--delete kasuje specyfikację połączenia z wewnętrznej bazy
pluto (porzucając przy okazji wszystkie połączenia na niej
bazujące); zawiedzie to jeśli podana specyfikacja nie ist�
nieje. Operacja --replace jest tożsama z --delete (jeśli
jest już tam oczywiście specyfikacja o podanej nazwie)
lecz poprzedzona --add i --rereadsecrets, jest wygodnym
sposobem na odświeżenie wewnętrznej specyfikacji pluto by
pasowała do tej podanej z zewnątrz. Żadne z pozostałych
operacji nie zmieniają wewnętrznej bazy.

Operacja --up prosi pluto o ustanowienie połączenia
bazującego na wpisie w wewnętrznej bazie. Operacja --down
mówi pluto by porzucić takie połączenie.

Zazwyczaj, pluto ustanawia trasę do punktu docelowego
określonego dla naszego połączenia jako część operacji
--up Jednakże trasa i tylko trasa może być ustawiona za
pomocą operacji --route Dopóki nasze aktualne połączenie
nie jest ustanowione, to wszystkie wysyłane tam pakiety
będą odrzucane, co może być preferowanym sposobem na
przesyłanie ich gdzie indziej, bazując na przykład na
jakiejś ogólnej trasie (np. trasie domyślnej).

Zazwyczaj trasa pluto do punktu docelowego pozostaje na
miejscu, gdy używana jest operacja --down służąca do
kasowania połączenia (lub jeśli zawiodą podstawowe ustaw�
ienia czy późniejsze automatyczne kluczowania). Pozwala
to na ustanowienie nowego połączenia (prawdopodobnie
używając innej specyfikacji; trasa jest zmieniana jeśli to



12 grudnia 1999 1





IPSEC_AUTO(8) IPSEC_AUTO(8)


konieczne) bez potrzeby ``okna'', w którym pakiety mogą
wędrować dokądkolwiek bazując na bardziej ogólnej trasie.
Taka trasa może być usunięta przy użyciu operacji
--unroute (i jest także usuwalna przez --delete).

Operacja --ready mówi pluto by nasłuchiwał żądań typu
ustawianie-połączenia (negocjowanie parametrów połączenia
- przyp. tł.) od innych hostów. Wykonywanie operacji --up
przed wykonaniem --ready po obu końcach jest daremne i nie
zadziała, chociaż teraz jest to zautomatyzowaną częścią
procesu startowego IPSEC i zazwyczaj nie powinno wynikać.

Operacja --status pyta pluto o obecny status połączenia.
Format wyjściowy stworzono ad-hoc i prawdopodobnie będzie
zmieniony.

Operacja --rereadsecrets mówi pluto by jeszcze raz
przeczytać plik /etc/ipsec.secrets zwany też plikiem
współdzielonych-sekretów, który normalnie jest czytany
tylko podczas startu. (Jest to obecnie synonimem dla
--ready, lecz może się zmienić.)

Opcja --show włącza opcję -x powłoki używanej do wykonywa�
nia poleceń, więc każda wykonywana komenda jest pokazy�
wana.

Opcja --showonly sprawia, że auto pokazuje standardowe
wyjścia komend, które uruchomiłoby, lecz nie uruchamia
ich.

Opcja --asynchronous dodawalna tylko do operacji up mówi
pluto by przystąpić do ustanawiania połączenia, ale bez
oczekiwania na raport o rezultatach. Jest to szczególnie
pomocne przy startowaniu wielokrotnych połączeń
równocześnie, gdy połączenia sieciowe są wolne.

Opcja --verbose instruuje auto by przepuścić całe wyjście
z ipsec_whack(8), włączając w to wyjście logów, które jest
normalnie odfiltrowywane jako nieinteresujące.

Opcja --config określa niestandardową lokalizację pliku
konfiguracyjnego IPSEC (domyślnie /etc/ipsec.conf).

Zobacz też ipsec.conf(5), gdzie znajdziesz szczegóły
dotyczące pliku konfiguracyjnego. Abstrahując od
parametrów podstawowych, które określają punkty końcowe i
trasowanie połączenia (left i right, plus możliwe leftsub�
net, leftnexthop, leftfirewall, ich odpowiedniki right i
być może type), połączenie auto niemalże zawsze potrzebuje
parametru keyingtries (odkąd domyślne keyingtries są
dobierane w sposób ubogi).

PLIKI
/etc/ipsec.conf domyślny plik konfiguracyjny IPSEC



12 grudnia 1999 2





IPSEC_AUTO(8) IPSEC_AUTO(8)


/var/run/ipsec.info informacja %defaultroute

ZOBACZ TAKŻE
ipsec.conf(5), ipsec(8), ipsec_pluto(8), ipsec_whack(8),
ipsec_manual(8)

HISTORIA
Napisano dla Linuxowego projektu FreeS/WAN
<http://www.xs4all.nl/~freeswan/> przez Henry'ego
Spencera.

USTERKI
Chociaż operacja --up wykonuje ustawianie parametrów
połączenia po obu końcach to --down porzuca tylko jeden
koniec połączenia (ale w końcu i tak osamotniona końcówka
wykryje bezczynność).

Nie ma wsparcia dla połączeń typu passthrough







































12 grudnia 1999 3