Я нечаянно столкнулся с этой проблемой, и решил проапдейтить свой пост:
Задача: нужно оставить выход в интернет по маршруту по умолчанию, но при этом видеть все хосты подсети VPN.
Логика: ppp по своей сути выдает маску 255.255.255.255 и изменить эту логику нельзя. Значит, надо писать маршруты на клиенте.
Как задавать спецмаршруты, я еще не исследовал, но как оказалось, если добавить в ppp/options параметры defaultroute и proxyarp, то все хосты заданные в local будут видны для подключившегося клиента.
Если я правильно понял вопрос, здесь не важно Racoon или Open/StrongSWAN, за выделение адресов L2TP клиентов отвечает ppp. «Из коробки» протокол point-to-point этого не позволяет, но люди говорят, что можно. Я экспериментально пока не подтвердил, но чисто теоретически требуется установить ppp-dhcp plugin для ppp, и будет вам счастье.
Я на досуге обязательно попробую и отпишусь о результатах.
Это не совсем сравнение, так как статья не претендует на объективность, скорее это мой способ решения поставленной задачи. Я тоже недостаточно хорошо разбираюсь во всех нюансах IPSec и его реализаций, могу только поделиться эмпирическим опытом: вот так плохо работает (у меня), а вот так — хорошо.
Что касается принципиальных различий, то openSWAN и strongSWAN — это форки одного проекта — FreeS/WAN, а Racoon — это часть ipsec-tools — порта KAME's IPSec tools с, если не ошибаюсь, FreeBSD на linux. То есть принципиальной разницы между openSWAN и strongSWAN по сравнению с racoon(ipsec-tools)нет.
Когда начали возникать описанные в статье проблемы с racoon, мне показалось, что у openSWAN больше комьюнити, плюс в баг-трекере ipsec-tools до сих пор есть незакрытые баги с segmentation fault, и поэтому я решил попробовать OpenSWAN. В результате мне показалось и надежней в работе, и удобней в настройке.
Задача: нужно оставить выход в интернет по маршруту по умолчанию, но при этом видеть все хосты подсети VPN.
Логика: ppp по своей сути выдает маску 255.255.255.255 и изменить эту логику нельзя. Значит, надо писать маршруты на клиенте.
Как задавать спецмаршруты, я еще не исследовал, но как оказалось, если добавить в ppp/options параметры defaultroute и proxyarp, то все хосты заданные в local будут видны для подключившегося клиента.
Конфигурацию поправил.
Я на досуге обязательно попробую и отпишусь о результатах.
Что касается принципиальных различий, то openSWAN и strongSWAN — это форки одного проекта — FreeS/WAN, а Racoon — это часть ipsec-tools — порта KAME's IPSec tools с, если не ошибаюсь, FreeBSD на linux. То есть принципиальной разницы между openSWAN и strongSWAN по сравнению с racoon(ipsec-tools)нет.
Когда начали возникать описанные в статье проблемы с racoon, мне показалось, что у openSWAN больше комьюнити, плюс в баг-трекере ipsec-tools до сих пор есть незакрытые баги с segmentation fault, и поэтому я решил попробовать OpenSWAN. В результате мне показалось и надежней в работе, и удобней в настройке.