Настройка firewall

В этом документе я предполагаю, что ваше ядро уже поддерживает IP-маскарадинг. См. раздел "Ссылки", в котором приведены ссылки на информацию о включении в ядро поддержки IP-маскарадинга.

Структура VPN

Машины связаны по технологии "звезда". Мы установим одно cipe-соединение между машинами A и B, и второе между A и C.

                    Машина A 
                eth0: 192.168.1.1 
               eth1: реальный ip 1 
               /               \ 
              /                 \ 
        Машина  B                 Машина  C 
   eth0: 192.168.2.1           eth0:192.168.3.1 
  eth1: реальный ip 2         eth1: реальный ip 3 

Небольшое замечание

eth0 - это локальная сеть (фиктивный адрес)
eth1 - это интернет (настоящий адрес)
Порт A - это любой возможный порт, который вам нравится
Порт B - это другой возможный порт, который вам нравится

Ключ A - это любой возможный ключ, который вам нравится (читайте документацию Cipe)
Ключ B - это другой возможный ключ, который вам нравится

Дополнительная информация о скриптах и VPN

Приведенные здесь скрипты ip-up рассчитаны на сети класса C. Если хотите, чтобы машина B могла связаться с машиной C, вам придется исправить соответствующие скрипты ip-up и ip-down. В них надо исправить маски ptpaddr и myaddr. Ниже приводятся два скрипта ip-up - один для ipchains, второй для ipfwadm. Также и для скриптов ip-down. Измените с /24 на /16 соответствующие правила интерфейса cipe для входящего, исходящего или проходящего потоков. Если вы изменяете правило в ip-up (ipfwadm), не забудьте изменить его в скрипте ip-down, чтобы оно удалялось при отключении интерфейса. Что же касается варианта для ipchains, то изменения в ip-up не требуют изменений в ip-down, ip-down просто удаляет все правила пользователя.

Вам также придется раскомментировать в файлах rc.cipe машин B и C строку с указанием маршрута на сети друг друга.