Комментарии 13
Для xfrm еще нужен Strongswan более свежий (от 5.8.0). С Centos 7 идет 5.7.2
wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN
А раз у нас используется протокол динамической маршрутизации, то должен быть и сетевой интерфейс, через который нужно роутить трафик.
Можно роутить трафик на конкретный IP по nexthop, например, 10.0.0.1 без всяких интерфейсов, хотя в некоторых случаях это не особо удобно, так как роутер считает, что IPSec-трафик уходит через стандартный интерфейс к провайдеру, потому нужен mangle, дополнительные настройки firewall, вмешательство в таблицу маршрутизации.
платная версия умеет:
1) push route (что не умеют встроенные в разные железки сервера openvpn – микрот и.т.д);
И кстати это не умеют многие… нужно делать add rout на виндовых машинах (что грабли для многих юзеров)
2) парой галок можно разрулить трафик, и определить какие IP и сети доступны юзеру;
3) функция autologin
1. Пушить маршруты, насколько помню, умела и бесплатная версия.
2. Аналогично в IPSec, надо в ipsec.conf прописать правильные left/rightsubnets. Можно указывать несколько сетей через запятую.
3. В Win-командлете Add-VpnConnection можно добавить в конце параметр RememberCredential, и после успешного подключения учетные данные будут сохранены.
Внешний IP 1.1.1.1.cloudflare dns ?)))
Начинаем разбираться и натыкаемся на одну неприятную особенность прекрасного во всём остальном Let's Encrypt — при любом перевыпуске сертификата меняется так же ассоциированный с ним закрытый ключ.
Во-первых, Let's Encrypt тут ни при чем.
Во-вторых, за это отвечает ACME-client и, скорее всего, вами использовался certbot, у которого эта умолчательность отключается параметром:
--reuse-key When renewing, use the same private key as the existing certificate. (default: False)
Для acme.sh все наоборот - умолчательно ключ не трогает, для пересоздания ключа при обновлении серта используется параметр:
--always-force-new-domain-key Generate new domain key on renewal. Otherwise, the domain key is not changed by default.
Жаль что статью по переходу с BIRD на BIRD2 так и не написали...
Это блин просто? Да нарисуйте вы схему сети правильно и увидите, что ваш роутер будет оказываться то слева, то справа, в зависимости от кейса. Именно по этому в ипсеке такая терминология. Скоко гайдов не читаю переводных или на них основанных, все время в этом они спотыкаются.
Слева приватные сети, в центре ваш ГЕЙТ, справа удаленные/интернет. Вот так будет просто и понятно.
Прошу прощения за некрокоммент
Подскажите пожалуйста, если вы настраивали полную поддержку IPv6?
Кто-то, кроме одного провайдера, это использует?
кстати, приходится использовать иногда, тк некоторые простенькие роутеры умеют из коробки только L2TP и, о боже, PPTP.
Из альтернатив:
через консоль пробросить вручную шифрованный тоннель (если ядро прошивки умеет в XFRM). Но это до первой перезагрузки. В итоге оказалось, что мне проще добавить L2TP на сервер. Да и на моих кейсах поддержка XFRM вроде отсутствовала как правило.
собрать свою прошивку.. лично я пока на такое не созрел для мини-роутеров
IPSec всемогущий