Перейти к содержанию

No route to host при отсутствии туннеля

KorDen
 Поделиться

Рекомендуемые сообщения

KorDen Старожил

KorDen

Опубликовано
Опубликовано

Интересует, какими способами можно заставить кинетик (Giga 2/2.06, Ultra 2/2.07) отвечать No route to host при обращении к сетям, которые должны быть доступны через туннель, но сейчас недоступны?

Т.е. к примеру моя сеть 192.168.0.0/24, удаленная по IPSec 192.168.1.0/24 и удаленная по PPTP 192.168.2.0/24. Если туннель не работает, то пакеты на 192.168.x.0/24 пойдут через дефолтный маршрут в сеть провайдера, чего не хочется.

Если no route to host нельзя сделать (было бы наиболее красивым вариантом), по идее можно запретить через iptables, в таком случае вопрос - netfilter.d вызывается и при поднятии/падении IPSec / L2TP/IPSec?

Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
Интересует, какими способами можно заставить кинетик (Giga 2/2.06, Ultra 2/2.07) отвечать No route to host при обращении к сетям, которые должны быть доступны через туннель, но сейчас недоступны?

Т.е. к примеру моя сеть 192.168.0.0/24, удаленная по IPSec 192.168.1.0/24 и удаленная по PPTP 192.168.2.0/24. Если туннель не работает, то пакеты на 192.168.x.0/24 пойдут через дефолтный маршрут в сеть провайдера, чего не хочется.

Если no route to host нельзя сделать (было бы наиболее красивым вариантом), по идее можно запретить через iptables, в таком случае вопрос - netfilter.d вызывается и при поднятии/падении IPSec / L2TP/IPSec?

Если сервис IPsec поднят, но не смог установить соединение с другим endpoint / ждет подключения от клиента, то пакеты, которые должны идти в удаленную подсеть по селектору IPsec дропаются.

Это касается только туннельного/транспортного режима и не касается L2TP over IPsec.

Если это не так - то это баг и нужно исправлять.

В случае с PPTP пожалуй прямо сейчас такое никак не сделать.

KorDen Старожил

KorDen

Опубликовано
  • Автор
Опубликовано
Если сервис IPsec поднят, но не смог установить соединение с другим endpoint / ждет подключения от клиента, то пакеты, которые должны идти в удаленную подсеть по селектору IPsec дропаются.

Да, действительно, с IPSec это работает.

В случае с PPTP, наверное, можно опрашивать подключенных к серверу пользователей (ndmq -P "tunnel/username" [ну или tunnel/clientaddress] -p "show vpn-server" ), дальше по своим соответствиям добавлять фильтры в iptables... Но хука никакого же нет на подключение/отключение клиентов VPN-сервера?

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю