Здравствуйте, DOOM, Вы писали:

RO>>Если я воспользуюсь IPSec, то трафик будет шифроваться весь без исключения
DOO>А вот это не верно. Читай про селекторы.

Тогда как мне сделать, чтобы каждый компьютер не пытался использовать IPSec в пределах своей подсети, и, скажем, по порту 22? В setkey можно задавать порт, но непонятно, как задать все порты, кроме данного.

Получается, я наделаю ключей X.509, укажу, какие кому соответствуют, а что за политики создавать?

1.1.1.42:/etc/ipsec-tools.conf

spdadd 1.1.1.42[any] 2.2.2.0/24[все, кроме 22] any -P out ipsec esp/transport//require;
spdadd 1.1.1.42[any] 3.3.3.0/24[все, кроме 22] any -P out ipsec esp/transport//require;
# аналогично для -P in

?