Comments | dadv: Route-based IPSec tunnel для FreeBSD

dadv

Route-based IPSec tunnel для FreeBSD

Feb 05, 2020 11:18

Довелось попробовать настроить IPSec в туннельном режиме под FreeBSD в «новом стиле», с созданием системного интерфейса ipsec0 со всеми причиндалами, включая MTU, чего раньше очень не хватало при настройке туннеля в «традиционном» стиле одними политиками IPSec, без туннельного интерфейса ( Read more... )

ipsec, #eof, strongswan, networking, freebsd

Comments 27

victor_sudakov February 22 2020, 05:39:14 UTC

Ты сознательно не стал делать через /usr/local/etc/ipsec.conf ? Там синтаксис попроще и скобочек поменьше. С использованием if_ipsec получилось бы (пишу на память, возможны неточности):

conn hq
left=1.1.1.1
right=2.2.2.2
type=transport
authby=psk
auto=route
installpolicy=no
reqid=100

dadv February 22 2020, 12:07:24 UTC

Я раньше не использовал strongswan и сознательно начал знакомство с ним с "нового" синтаксиса. И хотя в посте конфиги совершенно правильные, на самом деле я менял дефолты больше: например, тут strongswan используется только в режиме инициатора, при том что на этой же машине давно работает racoon в качестве терминатора туннелей IKEv1 и нанимает порты udp/500 и udp/4500, поэтому, чтобы они не конфликтовали, мне пришлось не только ставить нестандартный local_port, но ещё и менять этот порт в другом из конфигов strongswan ( ... )

victor_sudakov February 22 2020, 13:53:03 UTC

по неведомой причине strongswan использует разные наборы для первоначального соединения и при обновлении ключей после reauth_time и у меня туннель падал из-за этого.

И это лечится указанием идентичных proposals и esp_proposals в двух местах? По мне это бага какая-то. А туннель падает насовсем или пропадает, а потом все-таки происходит какой-то renegotiation?

Старый уже не рекомендуется

Кем не рекомендуется? Не знаю что ты называешь "линуксовыми хаутушками", но на сайте strongswan в примерах, на которые постоянно ссылаются в рассылке, например https://wiki.strongswan.org/projects/strongswan/wiki/UsableExamples - все примеры через ipsec.conf.

dadv February 22 2020, 14:27:44 UTC

> И это лечится указанием идентичных proposals и esp_proposals в двух местах?

Да.

> По мне это бага какая-то.

Раз это документировано, это не бага, это фича :-)

> А туннель падает насовсем или пропадает, а потом все-таки происходит какой-то renegotiation?

Насовсем. regenotiation перманентно неуспешный из-за отсутствия пересечения с пиром.

Thread 27

victor_sudakov February 22 2020, 08:55:31 UTC

Вот я как раз решил написать про то же самое: https://victor-sudakov.livejournal.com/456221.html