Jump to content
  • 0

XFRM интерфейс

Виталий Шадрин

Asked by Виталий Шадрин,

 Share

Question

Виталий Шадрин Member

Виталий Шадрин

Posted
Posted
Цитата
  • IPsec: реализована поддержка интерфейсов XFRM для маршрутизации трафика site-to-site [NDM-3009]:
    • interface XFRM0 — создать интерфейс XFRM;
    • crypto map {name} tunnel-interface XFRM0 — назначить интерфейс XFRM на криптокарту

Доброго всем дня!

Кто-нибудь настраивал маршрутизацию трафика с помощью интерфейса XFRM?

Поделитесь примером настройки или инструкцией.

Спасибо!

Link to comment
Share on other sites

2 answers to this question

Recommended Posts

  • 0
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted

1 - создаете этот интерфейс командой, вешаете на него IP-адрес, делаете его global (или нет), настраиваете маршрутизацию и firewall - вобщем все, что можно делать с интерфейсом наподобие wireguard.

2 - настраиваете IPsec site-to-site, и в нем привязываете этот интерфейс. Теперь в это соедиение идет не вообще весь трафик по политике, а только тот, что в интерфейс должен уйти. И наоборот - трафик удаленной стороны появляется не из "ниоткуда", а выходит из этого интерфейса.

Также в такой конструкции можно сделать селекторы 0.0.0.0/0 (как в wireguard указывается allowed-ips 0.0.0.0/0), и дальше уже трафик полностью управляется роутингом и фаерволом.

Link to comment
Share on other sites
  • 0
Виталий Шадрин Member

Виталий Шадрин

Posted
  • Author
Posted

Спасибо!

Цитата

1 - создаете этот интерфейс командой, вешаете на него IP-адрес, делаете его global (или нет), настраиваете маршрутизацию и firewall - вобщем все, что можно делать с интерфейсом наподобие wireguard.

2 - настраиваете IPsec site-to-site, и в нем привязываете этот интерфейс. Теперь в это соедиение идет не вообще весь трафик по политике, а только тот, что в интерфейс должен уйти. И наоборот - трафик удаленной стороны появляется не из "ниоткуда", а выходит из этого интерфейса.

Также в такой конструкции можно сделать селекторы 0.0.0.0/0 (как в wireguard указывается allowed-ips 0.0.0.0/0), и дальше уже трафик полностью управляется роутингом и фаерволом.

 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...