Jump to content
  • 0

XFRM интерфейс

Виталий Шадрин

Asked by Виталий Шадрин,

 Share

Question

Виталий Шадрин Member

Виталий Шадрин

Posted
Posted
Цитата
  • IPsec: реализована поддержка интерфейсов XFRM для маршрутизации трафика site-to-site [NDM-3009]:
    • interface XFRM0 — создать интерфейс XFRM;
    • crypto map {name} tunnel-interface XFRM0 — назначить интерфейс XFRM на криптокарту

Доброго всем дня!

Кто-нибудь настраивал маршрутизацию трафика с помощью интерфейса XFRM?

Поделитесь примером настройки или инструкцией.

Спасибо!

2 answers to this question

Recommended Posts

  • 0
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted

1 - создаете этот интерфейс командой, вешаете на него IP-адрес, делаете его global (или нет), настраиваете маршрутизацию и firewall - вобщем все, что можно делать с интерфейсом наподобие wireguard.

2 - настраиваете IPsec site-to-site, и в нем привязываете этот интерфейс. Теперь в это соедиение идет не вообще весь трафик по политике, а только тот, что в интерфейс должен уйти. И наоборот - трафик удаленной стороны появляется не из "ниоткуда", а выходит из этого интерфейса.

Также в такой конструкции можно сделать селекторы 0.0.0.0/0 (как в wireguard указывается allowed-ips 0.0.0.0/0), и дальше уже трафик полностью управляется роутингом и фаерволом.

  • 0
Виталий Шадрин Member

Виталий Шадрин

Posted
  • Author
Posted

Спасибо!

Цитата

1 - создаете этот интерфейс командой, вешаете на него IP-адрес, делаете его global (или нет), настраиваете маршрутизацию и firewall - вобщем все, что можно делать с интерфейсом наподобие wireguard.

2 - настраиваете IPsec site-to-site, и в нем привязываете этот интерфейс. Теперь в это соедиение идет не вообще весь трафик по политике, а только тот, что в интерфейс должен уйти. И наоборот - трафик удаленной стороны появляется не из "ниоткуда", а выходит из этого интерфейса.

Также в такой конструкции можно сделать селекторы 0.0.0.0/0 (как в wireguard указывается allowed-ips 0.0.0.0/0), и дальше уже трафик полностью управляется роутингом и фаерволом.

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...