Jump to content
  • 14

Route-based IPSec


ssedov
 Share

Question

Хотелось бы видеть такой вариант IPsec. Strongswan умеет такое.

При этом в ОС создается сетевой интерфейс (VTI) и в него можно настраивать маршрутизацию трафика для любых не пересекающихся подсетей, а не только той одной подсети что указана сейчас в конфиге IPsec (policy-based вариант).

  • Upvote 1
Link to comment
Share on other sites

25 answers to this question

Recommended Posts

  • 0
20 часов назад, ssedov сказал:

Хотелось бы видеть такой вариант IPsec. Strongswan умеет такое.

При этом в ОС создается сетевой интерфейс (VTI) и в него можно настраивать маршрутизацию трафика для любых не пересекающихся подсетей, а не только той одной подсети что указана сейчас в конфиге IPsec (policy-based вариант).

Да, он такое умеет, и это была одна из причин переходить на новое ядро.

Пока планируем интеграцию с policy routing и другими вещами.

Link to comment
Share on other sites

  • 0
3 минуты назад, Le ecureuil сказал:

Да, он такое умеет, и это была одна из причин переходить на новое ядро.

Пока планируем интеграцию с policy routing и другими вещами.

Хотя бы примерно когда можно ожидать этих нововведений? И по какому запросу поискать информацию для ознакомления с этим? Или может ссылку на документацию сможете дать?

Link to comment
Share on other sites

  • 0
1 час назад, ssedov сказал:

Хотя бы примерно когда можно ожидать этих нововведений? И по какому запросу поискать информацию для ознакомления с этим? Или может ссылку на документацию сможете дать?

Когда - сказать сложно.

Насчет ссылки - на wiki strongswan (https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN) и в исходниках ядра и sw.

Link to comment
Share on other sites

  • 0
30 минут назад, Le ecureuil сказал:

Когда - сказать сложно.

Насчет ссылки - на wiki strongswan (https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN) и в исходниках ядра и sw.

Спасибо за ссылку, как раз это то я и читал ранее. Cмутило что вы написали policy routing выше, а сейчас по ссылке вижу что речь про route-based routing.

Очень буду ждать реализации этой возможности. Верно же понимаю что первым делом это появится в ветке альфа 3.3?

Link to comment
Share on other sites

  • 0
14 минуты назад, ssedov сказал:

Что-то может прояснилось за прошедшее время? Какие планы по реализации?

2 голоса всего... маловато... предположу, что пока не наберется хотя бы 20... никаких подвижек не будет....

Link to comment
Share on other sites

  • 0
19 минут назад, krass сказал:

2 голоса всего... маловато... предположу, что пока не наберется хотя бы 20... никаких подвижек не будет....

Так выше писали что это и так есть в планах, только вот сроки не ясные.

Link to comment
Share on other sites

  • 0

Вряд ли имелись в виду самые ближайшие планы. Ноябрь-декабрь скорее всего занимались допиливанием прошивки 3.3. И сделали заготовки 3.4, но там скорее всего только портирование новых приложений. А потом наступили праздники и полная тишина на форуме. 

В общем, рано.

Link to comment
Share on other sites

  • 0
1 час назад, keenet07 сказал:

Вряд ли имелись в виду самые ближайшие планы. Ноябрь-декабрь скорее всего занимались допиливанием прошивки 3.3. И сделали заготовки 3.4, но там скорее всего только портирование новых приложений. А потом наступили праздники и полная тишина на форуме. 

В общем, рано.

вы забыли еще про ветку 3.2 но её выкладывать не будут..она для новых роутеров...

Link to comment
Share on other sites

  • 0

Мне, например, такое совершенно точно надо, чтобы иметь возможность указать больше одной подсети за ipsec/ike-сервером, к которому приходит мой кинетик.

Link to comment
Share on other sites

  • 0

IKEv2 умеет такое и без костылей (а в IKEv1 через Cisco unity extensions).

Плавно движемся туда, но пока без сроков (хотя в рамках 3.4 заметный внутренний рефакторинг уже сделан под это дело).

Link to comment
Share on other sites

  • 0
8 minutes ago, Le ecureuil said:

IKEv2 умеет такое и без костылей

У Kerio Control именно ikev2, а филиальная Viva работает ikev2 клиентом. Может, как-то через скрипты можно дополнить генерируемый конфиг strongswan?

Link to comment
Share on other sites

  • 0
27 минут назад, The Chief сказал:

У Kerio Control именно ikev2, а филиальная Viva работает ikev2 клиентом. Может, как-то через скрипты можно дополнить генерируемый конфиг strongswan?

Пока нет.

Link to comment
Share on other sites

  • 0

Так в чем проблема делать через GRE туннели? У меня так и сделано. GRE интерфейсы, шифруются strongswan в транспортном режиме. Внутри GRE и статическая маршрутизация и динамическая.

Link to comment
Share on other sites

  • 0

Апну тему. Что-то движется в этой части? Может какие-то уже планы есть и сроки?

Link to comment
Share on other sites

  • 0
1 час назад, Le ecureuil сказал:

В opkg все можно, модули vti и xfrmi я туда подключил в версии 3.5.

Тогда вопрос - где-то можно почитать как этим всем там пользоваться? Ни разу с opkg не сталкивался.

Link to comment
Share on other sites

  • 0
1 минуту назад, ssedov сказал:

Тогда вопрос - где-то можно почитать как этим всем там пользоваться? Ни разу с opkg не сталкивался.

Два самых нижних раздела на этом форуме.

  • Thanks 1
Link to comment
Share on other sites

  • 0
37 минут назад, Le ecureuil сказал:

Два самых нижних раздела на этом форуме.

Рано обрадовался, с opkg даже близко не ясно что делать. Не нашел инструкций для новых кинетиков, только для старых моделей скрины и описания. Так же ничего не нашел про vti/ipsec. Поиск по форуму не находит никакой информации об установке и настройке.

Из opkg это же рано или поздно перейдет в нормальный вариант работы? Как сейчас это сделано для ipsec.

Link to comment
Share on other sites

  • 0

Очень хочу пробовать. Читаю сейчас про opkg, но пока не понимаю что это такое и как его использовать. С одной стороны это так же похоже на yum и apt, но с другой как там что-то найти (list, search?) связанное с vti, как установить, как запускать (strongswan start?), добавить в автозапуск (systemctl?), мониторить логи (/var/log?), где конфиги (/etc?), как конфиги будут пересекаться с теми что в веб интерфейсе? В общем пока очень много вопросов, на том же centos все в разы проще сделать для меня. А тут пока не могу разобраться.

Опять же под рукой свободного роутера нет, пробовать придется на боевом удаленно стоящем. Без флешки как понимаю вообще это не заработает, может ли что-то сломаться от opkg тоже не ясно, как потом вернуть удаленный доступ к роутеру тоже пока не ясно. Сломать боевой роутер как то не хочется. Купить роутер для тестов и обкатки настроек? Как понимаю попробовать настройки можно только на железе, виртуалок для таких целей нет.

Edited by ssedov
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...