Зашифровать трафик в локальной сети

[BloodyFRag]

Добрый день! Возник вопрос - можно ли зашифровать весь трафик в локальной сети от клиентских машин до шлюза с помощью IPsec? Сейчас есть тестовый стенд из двух машин 1 клиент и 1 шлюз comp1 и GW1 соответственно, на которых настроен ipsec туннель и racoon для управления ключами, настройка на двух машинах выглядит так:

Comp1

(Нажмите, чтобы показать/скрыть)

/etc/racoon/racoon.conf

Код: [Выделить]


#log debug;
log notify;

path pre_shared_key "/etc/racoon/psk.txt";

listen
{
    isakmp comp1 [500] ;
}

sainfo anonymous
{
        lifetime time 45 min ;
        pfs_group 2;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}

remote anonymous {
        exchange_mode main,aggressive;
        my_identifier address;
        lifetime time 45 min ;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group modp1024;
        }
}

/etc/ipsec-tools.conf

Код: [Выделить]

#!/usr/sbin/setkey -f
flush;
spdflush;
spdadd Comp1 GW1 any -P out ipsec ah/tunnel/Comp1-GW1/require;
spdadd GW1 Comp1 any -P in ipsec ah/tunnel/GW1-Comp1/require;


GW1

(Нажмите, чтобы показать/скрыть)

/etc/racoon/racoon.conf

Код: [Выделить]


#log debug;
log notify;

path pre_shared_key "/etc/racoon/psk.txt";

listen
{
    isakmp GW1 [500] ;
}

sainfo anonymous
{
        lifetime time 45 min ;
        pfs_group 2;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}

remote anonymous {
        exchange_mode main,aggressive;
        my_identifier address;
        lifetime time 45 min ;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group modp1024;
        }
}

/etc/ipsec-tools.conf

Код: [Выделить]

#!/usr/sbin/setkey -f
flush;
spdflush;
spdadd GW1 Comp1 any -P out ipsec ah/tunnel/GW1-Comp1/require;
spdadd Comp1 GW1 any -P in ipsec ah/tunnel/Comp1-GW1/require;


и как бы все работает - трафик который предназначен непостредственно этим хостам шифруется, но трафик который уходит с клиента за шлюз не шифруется и оно понятно почему, но я не понимаю как настроить все правильно таким образом, что бы транзитный трафик уходя с Comp1 шифровался, прилетал на GW1 расшифровывался у улетал через wan в "чистом" виде.
Как запасной вариант рассматриваю openvpn, но все же хотелось бы разобраться с IPsec. Заранее спасибо.