《手册》上对VPN的总分描述很简单，对于有经验的人来说可能非常好理解，但是，理论和实践经验稍微差一点的，就可能有些困难。现补充部分如下：
　　1、第一节中大量篇幅关于Fast_IPSec的问题，给人的感觉是好象现在已经向Fast_IPSec转变。但其实不然，Fast_IPSec还不能和IPSec共用。（个人理解，可能不正确）
　　2、第三节说明了本章适用的环境，其实在VPN的应用分类中，这个属于企业扩展网。AccessVPN不适用。也就是说，如果你想建一个服务器，或者想从FreeBSD拨到另一个VPN服务器，那么本章对你帮助不大。
　　3、注意第三节最后面的步骤：（1）先把两个局域网连通。其实这一步本身已经完成了隧道功能，如果要求不高的地方，完全可以用来生产。速度比加上IPSec后要快得多。（2）加密。（3）设置客户端。
　　4、3.1节提到内核选项gif，其实不编译进去也可以，在用得到的时候，FreeBSD自动挂上相应的内核模块if_gif.ko。
　　　　3.1节还提到需要每个网关4个IP，其实2个就足够了。并且，其它IP的相应的访问功能还是一样使用。并不会因为有了隧道，就影响到比如ssh,ftp的使用。
　　5、3.2节问题较多：
　　　（1）说可以手动设置算法、密钥等，但是没给方法。
　　　（2）racoon和ipsec-tools的关系：安装ipsec-tools的时候，就把racoon安装好了。
　　　（3）racoon默认是启不开的。要做以下设置：
　　　　　　mkdir /usr/local/etc/racoon
　　　　　　cp /usr/local/share/examples/ipsec-tools/racoon.conf.sample /usr/local/etc/racoon/racoon.conf
　　　　　　ee /usr/local/etc/racoon/racoon.conf　修改其中psk.txt的位置。
　　　　　　建立一个psk.txt，放在racoon.conf里设置的位置。
　　　（4）racoon的文件信息放在：/usr/local/etc/rc.d/racoon里面。注意一个$name的变量，它基本上指示了所有的文件地点。
　　　（5）注意psk.txt的位置。它的内容：w.x.y.z secret，把后面的字母换成你自己的，这个字符串就是两个网关通信的基础，如果不一样，就不能通信。

　　6、本章多次提到防火墙，并且只用了ipfw作为示例，如果不用考虑这方面的因素，直接在网关上写上
　　　ipfw add 10 allow ip from any to any
　　7、加了VPN以后，原来的服务不受影响，包括NAT。只是把对应的包转到隧道，其它的包还是按NAT原来的路线走。

顶楼主！
在做这个测试的时候。一连几天都卡在racoon处。到处google也没有相应的资料。
最后无奈之下，找到了手动配置ipsec的方法。才算完成了整个ipsec-vpn
现在生产中跑的还是手动的ipsec。
抽空试试自动的。

经过测试。用racoon代替了手动配置密钥。经过远程调试。我们生产中的vpn已经测试成功。
根据这次测试过程。再为新手补充几点。

1、编辑/etc/rc.conf文件。让racoon自动启动


在文件尾加入


2、按照楼主的配置完成后，可以手动启动一下racoon


3、启动后，运行setkey -D 的时候并不会加密（我一直以为没有成功，反复看了几次手册和楼主的步骤）。
直到vpn双方进行通讯的时候，才会加密。
也就是说我在运行 ping  x.x.x.x（另一端vpn ip地址）之后，再运行setkey -D时就会有安全关联信息了。
4、防火墙配置，我这里以pf为例 a.b.c.d为总部ip地址，w.x.y.z为分部ip地址


在另一边只需要交换一下in和out的位置即可。当然防火墙可以具体细化。

支持。

可以把你的手动设置的配置过程写下来吗？

找了很长时间也没找到明确的答案。
好象是先配置SAP，再配置SPD，但是这两者之间怎么联系，一直不是很理解。

其实，用手动配置ipsec加密的方法比较简单。都可以通过setkey的方法配置。
一般情况下，把加密信息直接写入ipsec.conf即可


以上两条命令分别设置了从a.b.c.d到w.x.y.z的处理协议为esp，2000（3000）为索引的序号，-E 3des-cbc指定了加密算法。最后的24位为加密共享密钥。

一个完整的ipsec.conf如下


在另一端只需将out和in换一下即可。

保存后。只需在两边都运行


即可生效，不必重启机器

谢谢！很好用。

现在研究client-to-lan，想找种最简单的方法。有什么心得吗？

不想配置复杂的mpd，但是还想用ipsec。

[ 本帖最后由 lsstarboy 于 2007-8-7 11:39 编辑 ]

客气了。
client－to－lan方式的vpn我们生产中没有用到。
最近在配置
postfix + courer-imap + mysql +extmail
的邮件系统。

不知道 linux和windows怎么做？
linux的手动添加了SP，SA；
windows怎么添加对应的策略呢？

用windows本身很难，需要的话，我可以传个软件给你。但是已经有很长时间没用那个软件了，连名字都忘了，查起来可能需要点时间。需要的话，通过小纸条把邮箱号给我。