Jump to content
  • 16

Route-based IPSec


Question

Posted

Хотелось бы видеть такой вариант IPsec. Strongswan умеет такое.

При этом в ОС создается сетевой интерфейс (VTI) и в него можно настраивать маршрутизацию трафика для любых не пересекающихся подсетей, а не только той одной подсети что указана сейчас в конфиге IPsec (policy-based вариант).

  • Upvote 2

26 answers to this question

Recommended Posts

  • 0
Posted
20 часов назад, ssedov сказал:

Хотелось бы видеть такой вариант IPsec. Strongswan умеет такое.

При этом в ОС создается сетевой интерфейс (VTI) и в него можно настраивать маршрутизацию трафика для любых не пересекающихся подсетей, а не только той одной подсети что указана сейчас в конфиге IPsec (policy-based вариант).

Да, он такое умеет, и это была одна из причин переходить на новое ядро.

Пока планируем интеграцию с policy routing и другими вещами.

  • 0
Posted
3 минуты назад, Le ecureuil сказал:

Да, он такое умеет, и это была одна из причин переходить на новое ядро.

Пока планируем интеграцию с policy routing и другими вещами.

Хотя бы примерно когда можно ожидать этих нововведений? И по какому запросу поискать информацию для ознакомления с этим? Или может ссылку на документацию сможете дать?

  • 0
Posted
1 час назад, ssedov сказал:

Хотя бы примерно когда можно ожидать этих нововведений? И по какому запросу поискать информацию для ознакомления с этим? Или может ссылку на документацию сможете дать?

Когда - сказать сложно.

Насчет ссылки - на wiki strongswan (https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN) и в исходниках ядра и sw.

  • 0
Posted
30 минут назад, Le ecureuil сказал:

Когда - сказать сложно.

Насчет ссылки - на wiki strongswan (https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN) и в исходниках ядра и sw.

Спасибо за ссылку, как раз это то я и читал ранее. Cмутило что вы написали policy routing выше, а сейчас по ссылке вижу что речь про route-based routing.

Очень буду ждать реализации этой возможности. Верно же понимаю что первым делом это появится в ветке альфа 3.3?

  • 0
Posted
32 минуты назад, Le ecureuil сказал:

В 3.3 уже точно нет.

А в какой тогда? Еще более новой?

  • 0
Posted

Что-то может прояснилось за прошедшее время? Какие планы по реализации?

  • 0
Posted
14 минуты назад, ssedov сказал:

Что-то может прояснилось за прошедшее время? Какие планы по реализации?

2 голоса всего... маловато... предположу, что пока не наберется хотя бы 20... никаких подвижек не будет....

  • 0
Posted
19 минут назад, krass сказал:

2 голоса всего... маловато... предположу, что пока не наберется хотя бы 20... никаких подвижек не будет....

Так выше писали что это и так есть в планах, только вот сроки не ясные.

  • 0
Posted

Вряд ли имелись в виду самые ближайшие планы. Ноябрь-декабрь скорее всего занимались допиливанием прошивки 3.3. И сделали заготовки 3.4, но там скорее всего только портирование новых приложений. А потом наступили праздники и полная тишина на форуме. 

В общем, рано.

  • 0
Posted
1 час назад, keenet07 сказал:

Вряд ли имелись в виду самые ближайшие планы. Ноябрь-декабрь скорее всего занимались допиливанием прошивки 3.3. И сделали заготовки 3.4, но там скорее всего только портирование новых приложений. А потом наступили праздники и полная тишина на форуме. 

В общем, рано.

вы забыли еще про ветку 3.2 но её выкладывать не будут..она для новых роутеров...

  • 0
Posted

Мне, например, такое совершенно точно надо, чтобы иметь возможность указать больше одной подсети за ipsec/ike-сервером, к которому приходит мой кинетик.

  • 0
Posted

IKEv2 умеет такое и без костылей (а в IKEv1 через Cisco unity extensions).

Плавно движемся туда, но пока без сроков (хотя в рамках 3.4 заметный внутренний рефакторинг уже сделан под это дело).

  • 0
Posted
8 minutes ago, Le ecureuil said:

IKEv2 умеет такое и без костылей

У Kerio Control именно ikev2, а филиальная Viva работает ikev2 клиентом. Может, как-то через скрипты можно дополнить генерируемый конфиг strongswan?

  • 0
Posted
27 минут назад, The Chief сказал:

У Kerio Control именно ikev2, а филиальная Viva работает ikev2 клиентом. Может, как-то через скрипты можно дополнить генерируемый конфиг strongswan?

Пока нет.

  • 0
Posted

Так в чем проблема делать через GRE туннели? У меня так и сделано. GRE интерфейсы, шифруются strongswan в транспортном режиме. Внутри GRE и статическая маршрутизация и динамическая.

  • 0
Posted
19 minutes ago, gaaronk said:

Так в чем проблема делать через GRE туннели?

Сервер не поддерживает GRE. В Kerio его нет,  например.

  • 0
Posted

Апну тему. Что-то движется в этой части? Может какие-то уже планы есть и сроки?

  • 0
Posted
1 час назад, Le ecureuil сказал:

В opkg все можно, модули vti и xfrmi я туда подключил в версии 3.5.

Тогда вопрос - где-то можно почитать как этим всем там пользоваться? Ни разу с opkg не сталкивался.

  • 0
Posted
1 минуту назад, ssedov сказал:

Тогда вопрос - где-то можно почитать как этим всем там пользоваться? Ни разу с opkg не сталкивался.

Два самых нижних раздела на этом форуме.

  • Thanks 1
  • 0
Posted
37 минут назад, Le ecureuil сказал:

Два самых нижних раздела на этом форуме.

Рано обрадовался, с opkg даже близко не ясно что делать. Не нашел инструкций для новых кинетиков, только для старых моделей скрины и описания. Так же ничего не нашел про vti/ipsec. Поиск по форуму не находит никакой информации об установке и настройке.

Из opkg это же рано или поздно перейдет в нормальный вариант работы? Как сейчас это сделано для ipsec.

  • 0
Posted

Если вы настолько не хотите это все пробовать, то может вам и vti-то не нужен? А то мы сделаем, а там опять сложно окажется.

  • 0
Posted (edited)

Очень хочу пробовать. Читаю сейчас про opkg, но пока не понимаю что это такое и как его использовать. С одной стороны это так же похоже на yum и apt, но с другой как там что-то найти (list, search?) связанное с vti, как установить, как запускать (strongswan start?), добавить в автозапуск (systemctl?), мониторить логи (/var/log?), где конфиги (/etc?), как конфиги будут пересекаться с теми что в веб интерфейсе? В общем пока очень много вопросов, на том же centos все в разы проще сделать для меня. А тут пока не могу разобраться.

Опять же под рукой свободного роутера нет, пробовать придется на боевом удаленно стоящем. Без флешки как понимаю вообще это не заработает, может ли что-то сломаться от opkg тоже не ясно, как потом вернуть удаленный доступ к роутеру тоже пока не ясно. Сломать боевой роутер как то не хочется. Купить роутер для тестов и обкатки настроек? Как понимаю попробовать настройки можно только на железе, виртуалок для таких целей нет.

Edited by ssedov
  • 0
Posted

апну тему, а то 2 года тишина

может появилась какая-то новая информация о сроках?


 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.