Route-based IPSec

ssedov · 30 октября, 2019

Хотелось бы видеть такой вариант IPsec. Strongswan умеет такое.

При этом в ОС создается сетевой интерфейс (VTI) и в него можно настраивать маршрутизацию трафика для любых не пересекающихся подсетей, а не только той одной подсети что указана сейчас в конфиге IPsec (policy-based вариант).

Le ecureuil · 31 октября, 2019

20 часов назад, ssedov сказал:

Хотелось бы видеть такой вариант IPsec. Strongswan умеет такое.

При этом в ОС создается сетевой интерфейс (VTI) и в него можно настраивать маршрутизацию трафика для любых не пересекающихся подсетей, а не только той одной подсети что указана сейчас в конфиге IPsec (policy-based вариант).

Да, он такое умеет, и это была одна из причин переходить на новое ядро.

Пока планируем интеграцию с policy routing и другими вещами.

ssedov · 31 октября, 2019

3 минуты назад, Le ecureuil сказал:

Да, он такое умеет, и это была одна из причин переходить на новое ядро.

Пока планируем интеграцию с policy routing и другими вещами.

Хотя бы примерно когда можно ожидать этих нововведений? И по какому запросу поискать информацию для ознакомления с этим? Или может ссылку на документацию сможете дать?

Le ecureuil · 31 октября, 2019

1 час назад, ssedov сказал:

Хотя бы примерно когда можно ожидать этих нововведений? И по какому запросу поискать информацию для ознакомления с этим? Или может ссылку на документацию сможете дать?

Когда - сказать сложно.

Насчет ссылки - на wiki strongswan (https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN) и в исходниках ядра и sw.

ssedov · 31 октября, 2019

30 минут назад, Le ecureuil сказал:

Когда - сказать сложно.

Насчет ссылки - на wiki strongswan (https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN) и в исходниках ядра и sw.

Спасибо за ссылку, как раз это то я и читал ранее. Cмутило что вы написали policy routing выше, а сейчас по ссылке вижу что речь про route-based routing.

Очень буду ждать реализации этой возможности. Верно же понимаю что первым делом это появится в ветке альфа 3.3?

Le ecureuil · 31 октября, 2019

В 3.3 уже точно нет.

ssedov · 31 октября, 2019

32 минуты назад, Le ecureuil сказал:

В 3.3 уже точно нет.

А в какой тогда? Еще более новой?

ssedov · 9 января, 2020

Что-то может прояснилось за прошедшее время? Какие планы по реализации?

krass · 9 января, 2020

14 минуты назад, ssedov сказал:

Что-то может прояснилось за прошедшее время? Какие планы по реализации?

2 голоса всего... маловато... предположу, что пока не наберется хотя бы 20... никаких подвижек не будет....

ssedov · 9 января, 2020

19 минут назад, krass сказал:

2 голоса всего... маловато... предположу, что пока не наберется хотя бы 20... никаких подвижек не будет....

Так выше писали что это и так есть в планах, только вот сроки не ясные.

keenet07 · 9 января, 2020

Вряд ли имелись в виду самые ближайшие планы. Ноябрь-декабрь скорее всего занимались допиливанием прошивки 3.3. И сделали заготовки 3.4, но там скорее всего только портирование новых приложений. А потом наступили праздники и полная тишина на форуме.

В общем, рано.

krass · 9 января, 2020

1 час назад, keenet07 сказал:

Вряд ли имелись в виду самые ближайшие планы. Ноябрь-декабрь скорее всего занимались допиливанием прошивки 3.3. И сделали заготовки 3.4, но там скорее всего только портирование новых приложений. А потом наступили праздники и полная тишина на форуме.

В общем, рано.

вы забыли еще про ветку 3.2 но её выкладывать не будут..она для новых роутеров...

The Chief · 13 марта, 2020

Мне, например, такое совершенно точно надо, чтобы иметь возможность указать больше одной подсети за ipsec/ike-сервером, к которому приходит мой кинетик.

Le ecureuil · 13 марта, 2020

IKEv2 умеет такое и без костылей (а в IKEv1 через Cisco unity extensions).

Плавно движемся туда, но пока без сроков (хотя в рамках 3.4 заметный внутренний рефакторинг уже сделан под это дело).

The Chief · 13 марта, 2020

8 minutes ago, Le ecureuil said:

IKEv2 умеет такое и без костылей

У Kerio Control именно ikev2, а филиальная Viva работает ikev2 клиентом. Может, как-то через скрипты можно дополнить генерируемый конфиг strongswan?

Le ecureuil · 13 марта, 2020

27 минут назад, The Chief сказал:

У Kerio Control именно ikev2, а филиальная Viva работает ikev2 клиентом. Может, как-то через скрипты можно дополнить генерируемый конфиг strongswan?

Пока нет.

gaaronk · 13 марта, 2020

Так в чем проблема делать через GRE туннели? У меня так и сделано. GRE интерфейсы, шифруются strongswan в транспортном режиме. Внутри GRE и статическая маршрутизация и динамическая.

The Chief · 13 марта, 2020

19 minutes ago, gaaronk said:

Так в чем проблема делать через GRE туннели?

Сервер не поддерживает GRE. В Kerio его нет, например.

kersantinov · 1 апреля, 2020

Дико плюсую, просил еще года два назад...

ssedov · 19 мая, 2020

Апну тему. Что-то движется в этой части? Может какие-то уже планы есть и сроки?

Le ecureuil · 19 мая, 2020

В opkg все можно, модули vti и xfrmi я туда подключил в версии 3.5.

ssedov · 19 мая, 2020

1 час назад, Le ecureuil сказал:

В opkg все можно, модули vti и xfrmi я туда подключил в версии 3.5.

Тогда вопрос - где-то можно почитать как этим всем там пользоваться? Ни разу с opkg не сталкивался.

Le ecureuil · 19 мая, 2020

1 минуту назад, ssedov сказал:

Тогда вопрос - где-то можно почитать как этим всем там пользоваться? Ни разу с opkg не сталкивался.

Два самых нижних раздела на этом форуме.

ssedov · 19 мая, 2020

37 минут назад, Le ecureuil сказал:

Два самых нижних раздела на этом форуме.

Рано обрадовался, с opkg даже близко не ясно что делать. Не нашел инструкций для новых кинетиков, только для старых моделей скрины и описания. Так же ничего не нашел про vti/ipsec. Поиск по форуму не находит никакой информации об установке и настройке.

Из opkg это же рано или поздно перейдет в нормальный вариант работы? Как сейчас это сделано для ipsec.

Le ecureuil · 19 мая, 2020

Если вы настолько не хотите это все пробовать, то может вам и vti-то не нужен? А то мы сделаем, а там опять сложно окажется.

ssedov · 19 мая, 2020

Очень хочу пробовать. Читаю сейчас про opkg, но пока не понимаю что это такое и как его использовать. С одной стороны это так же похоже на yum и apt, но с другой как там что-то найти (list, search?) связанное с vti, как установить, как запускать (strongswan start?), добавить в автозапуск (systemctl?), мониторить логи (/var/log?), где конфиги (/etc?), как конфиги будут пересекаться с теми что в веб интерфейсе? В общем пока очень много вопросов, на том же centos все в разы проще сделать для меня. А тут пока не могу разобраться.

Опять же под рукой свободного роутера нет, пробовать придется на боевом удаленно стоящем. Без флешки как понимаю вообще это не заработает, может ли что-то сломаться от opkg тоже не ясно, как потом вернуть удаленный доступ к роутеру тоже пока не ясно. Сломать боевой роутер как то не хочется. Купить роутер для тестов и обкатки настроек? Как понимаю попробовать настройки можно только на железе, виртуалок для таких целей нет.

Изменено 19 мая, 2020 пользователем ssedov

Warheart · 14 июля, 2022

апну тему, а то 2 года тишина

может появилась какая-то новая информация о сроках?

Войти

Route-based IPSec

Вопрос

ssedov

26 ответов на этот вопрос

Рекомендуемые сообщения

Le ecureuil

ssedov

Le ecureuil

ssedov

Le ecureuil

ssedov

ssedov

krass

ssedov

keenet07

krass

The Chief

Le ecureuil

The Chief

Le ecureuil

gaaronk

The Chief

kersantinov

ssedov

Le ecureuil

ssedov

Le ecureuil

ssedov

Le ecureuil

ssedov

Warheart

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Обзор

Активность

Магазин

My Details

Важная информация