gaaronk

Изнутри инициируют соединение не в подсеть на интерфейсе, а сеть лежащую за интерфейсом. И это как раз проблема. Конечно пинги на стыковочные адреса работают.

Как же не идет, когда идет? было state: up стало state: down Это никак не связанно с netfilter. Вообще никак. А трафик изнутри не пойдет. Нет маршрута в интерфейс. Да, это видимо внутрення логика - state стал down - убрали маршрут. Тут два варианта - обвешивать эту логику всякими if на предмет - это интерфейс Wireguard или нет. Или отключить выключение состояния интерфейса, что проще, как мне кажется.

Ну тогда процитирую. PersistentKeepalive — a seconds interval, between 1 and 65535 inclusive, of how often to send an authenticated empty packet to the peer for the purpose of keeping a stateful firewall or NAT mapping valid persistently. Между пирами у меня нет ни NAT, ни stateful firewall.

Нет, Keepalives это для пробития NAT. А тут оба пира на белых адресах. На кинетике когда нет хендшейка - интерфейс идет в down, и из таблицы попадает маршрут привязанный к этому интерфейсу. На linux - нет хендшейка и нет себе. Хочется по ряду причин не использовать keepalive. Трафик бегает в этом туннеле очень редко. И хочется объем трафика минимизировать по максимуму.

А можно опцию для Wireguard интереса что бы не делать ему down, если не было хендшейка и не было трафика более 120 секунд?

Читаю читаю документации и пытаюсь понять. Если у меня на роутере два GRE туннеля, то мне аналогично надо будет сделать два wireguarg интерфейса (каждый на своем listen port), каждый с одним пиром и AllowedIPs 0.0.0.0 ? Потому что я не могу создать один wg интерфейс, с адресом с маской /24 и несколькими пирами у которых AllowedIPs 0.0.0.0 ? Потому что заранее казать какие чета лежат за пиром невозможно, как маршрутизация ляжет. Как то так interface Wireguard0 description "VPN 1" security-level public ip address 172.16.1.1 255.255.255.248 wireguard listen-port 1501 wireguard peer 11111.... endpoint 1.1.1.1:1501 keepalive-interval 15 allow-ips 0.0.0.0 0.0.0.0 interface Wireguard1 description "VPN 2" security-level public ip address 172.16.2.1 255.255.255.248 wireguard listen-port 1502 wireguard peer 2.2.2.2.... endpoint 2.2.2.2:1502 keepalive-interval 15 allow-ips 0.0.0.0 0.0.0.0 Ну а дальше рулить маршрутизацией?

Добрый день! Есть Kennetic Start KN-1110. Для соединения двух сетей сейчас используется GRE туннель с IPSec. Аппаратный ускоритель обрабатывает только шифрование, хэширование как я понимаю делается программно. Поэтому для ESP настроено AES128-SHA1 Если заменить IPSec на Wireguard (который полностью программный) - будет ли снижение нагрузки на систему? Проверить самостоятельно сложно - рутер стоит далеко с ограниченным доступом.

Недавно в entware обновился dropbear. Добавили поддержку ed25519. Вот только авторы dropbear для большей совместимости перешли для ecdsa на nistp256 вместо nistp512 В ходе обновления генерируется dropbear_ed25519_host_key, но не трогается существующий dropbear_ecdsa_host_key. А он уже не того формата. Dropbear его не грузит с ошибкой. В итоге вместо host key algorithms: ssh-ed25519,ecdsa-sha2-nistp256,ssh-rsa предлагается только host key algorithms: ssh-rsa Если dropbear_ecdsa_host_key перегенировать руками то все приходит в норму

Так в чем проблема делать через GRE туннели? У меня так и сделано. GRE интерфейсы, шифруются strongswan в транспортном режиме. Внутри GRE и статическая маршрутизация и динамическая.

Добрый день. Включён IPv6 segment в режиме mode dhcp Судя по всему разным клиентам выдаются одинаковые адреса. Как посмотреть dhcp6 lease для домашнего сегмента?

Вопрос. А зачем при включённом ipv6 firewall открыты все порты на вход со стороны оборудования провайдера? В цепочке INPUT есть правило разрешающее все для source fe80::/10 В том числе и со стороны WAN интерфейса. По сути с link local адресов провайдера есть полный доступ к маршрутизатору. версия 3.1.10

Прошу прощения за задержку с ответом. Нет, полиси роутинга нет, но есть IPSec site-to-site. Такое впечатление что дергается в момент перестроения IKE SA, а не IPSec SA. Насчёт -w спасибо, попробую.

Забыл добавить - прошивка 2.15.C.5.0-0

Подскажите пожалуйста, как правильно добавлять правила в цепочку PREROUTING в таблицу mangle ? Надо добавить три правила. Через скрипт в /opt/etc/ndm/netfilter.d/ это сделать НЕ ПОЛУЧАЕТСЯ. Скрипт дергается 5-6 раз в секунду. Вот например время когда вызывался скрипт. Mon Jul 8 06:10:36 MSK 2019 Mon Jul 8 06:10:36 MSK 2019 Mon Jul 8 06:10:36 MSK 2019 Mon Jul 8 06:10:36 MSK 2019 Mon Jul 8 06:10:36 MSK 2019 Mon Jul 8 06:10:49 MSK 2019 Mon Jul 8 06:10:49 MSK 2019 Mon Jul 8 06:10:49 MSK 2019 Mon Jul 8 06:10:49 MSK 2019 Mon Jul 8 06:10:49 MSK 2019 Mon Jul 8 06:10:50 MSK 2019 В итоге получается полная каша. Правила или дублируются, или не вставляются. Или вставляется 1-2 из трех. Как ПРАВИЛЬНО это делать?

Нет не надо. В центре для удаленных точек которые за NAT можно не указывать адрес удаленной точки. tunnel source <WAN> или tunnel source auto а tunnel destination вообще не выставляем. Именно так все и работает, адрес автоматически выставляется на основе политики, полученной от IPsec. Можно даже автотуннели настроить, главное что бы имена интерфейсов на разных концах туннеля совпадали. То есть центре создаете интерфейсы Gre1 и Gre2. На первой удаленной точке делаете Gre1 интерфейс, на второй соотвественно Gre2 Все работает. Все описано. Каждая точка стучится в центр, при смене адреса у нее туннель переподнимается автоматом.

bird лучше Белый адрес нужен только для центра звезды.

Натяните везде GRE туннели и их шифруйте IPSec'ом. А там внутрь туннеля по маршрутизации что хотите то и отправляйте. У меня внутри туннелей бегает ospf на базе bird.

Вставлете правила с уникальным комментарием, например -m comment --comment unic_marker Потом в начале скрипта /opt/sbin/iptables -L -n -t filter | grep -q "unic_marker" && exit 0

А какой опцией передается маршрут? Надо через 249

Да, но нет. МСЭ имеет приоритет перед tunnels input И перед _NDM_IPSEC_INPUT_FILTER. Если я взаимодействую с пиром "B" по GRE с ипеском, то использование МСЭ разрешит любой GRE от "B", и запретит от остальных. Что никак не решает задачу - разрешить GRE ТОЛЬКО от "B" и ТОЛЬКО шифрованный.

А как настроить firewall что бы разрешить только шифрованный GRE ? В цепочке _NDM_IPSEC_INPUT_FILTER мы разрешаем шифрованные GRE от наших пиров, и потом дропаем нешифрованный от них же. Разумно и логично. А потом в _NDM_TUNNELS_INPUT разрешаем от всех остальных... Как это запретить?

Web морда не умеет делать правильные ACL для GRE туннелей. Только в CLI

Привык смотреть первоисточник в шелле =(

Если у вас такая схема, то вам надо обязательно: 1. Обновить кинетик до 2.10 2. Конфигурировать авто туннель на кинетикие в режиме ikev2 3. Посмотреть в /tmp/ipsec/ipsec.conf на кинетике какие он задал leftid и rightid что бы на линуксе настроить строго зеркально 4. Посмотреть в /tmp/ipsec/ipsec.conf на кинетике какие он задал ike, esp, ikelifetime, lifetime что бы на линуксе задать такие же 5. На линуксе в параметрах туннеля использовать как source локальный адрес линукса

Strongswan 5.5.3 Клиент? Тут нет понятия клиент, оба соединения равноправны. У вас кто за NAT - линукс или кинетик? Внешний IP статический или динамический?