Jump to content

No route to host при отсутствии туннеля

KorDen
 Share

Recommended Posts

KorDen Honored Flooder

KorDen

Posted
Posted

Интересует, какими способами можно заставить кинетик (Giga 2/2.06, Ultra 2/2.07) отвечать No route to host при обращении к сетям, которые должны быть доступны через туннель, но сейчас недоступны?

Т.е. к примеру моя сеть 192.168.0.0/24, удаленная по IPSec 192.168.1.0/24 и удаленная по PPTP 192.168.2.0/24. Если туннель не работает, то пакеты на 192.168.x.0/24 пойдут через дефолтный маршрут в сеть провайдера, чего не хочется.

Если no route to host нельзя сделать (было бы наиболее красивым вариантом), по идее можно запретить через iptables, в таком случае вопрос - netfilter.d вызывается и при поднятии/падении IPSec / L2TP/IPSec?

Link to comment
Share on other sites
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
Интересует, какими способами можно заставить кинетик (Giga 2/2.06, Ultra 2/2.07) отвечать No route to host при обращении к сетям, которые должны быть доступны через туннель, но сейчас недоступны?

Т.е. к примеру моя сеть 192.168.0.0/24, удаленная по IPSec 192.168.1.0/24 и удаленная по PPTP 192.168.2.0/24. Если туннель не работает, то пакеты на 192.168.x.0/24 пойдут через дефолтный маршрут в сеть провайдера, чего не хочется.

Если no route to host нельзя сделать (было бы наиболее красивым вариантом), по идее можно запретить через iptables, в таком случае вопрос - netfilter.d вызывается и при поднятии/падении IPSec / L2TP/IPSec?

Если сервис IPsec поднят, но не смог установить соединение с другим endpoint / ждет подключения от клиента, то пакеты, которые должны идти в удаленную подсеть по селектору IPsec дропаются.

Это касается только туннельного/транспортного режима и не касается L2TP over IPsec.

Если это не так - то это баг и нужно исправлять.

В случае с PPTP пожалуй прямо сейчас такое никак не сделать.

Link to comment
Share on other sites
KorDen Honored Flooder

KorDen

Posted
  • Author
Posted
Если сервис IPsec поднят, но не смог установить соединение с другим endpoint / ждет подключения от клиента, то пакеты, которые должны идти в удаленную подсеть по селектору IPsec дропаются.

Да, действительно, с IPSec это работает.

В случае с PPTP, наверное, можно опрашивать подключенных к серверу пользователей (ndmq -P "tunnel/username" [ну или tunnel/clientaddress] -p "show vpn-server" ), дальше по своим соответствиям добавлять фильтры в iptables... Но хука никакого же нет на подключение/отключение клиентов VPN-сервера?

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...