Pull to refresh
10
0
Ал. Велиг. @Alvelig

User

Send message
Спасибо, поправим
К сожалению, зависит от цвета кожи. :(
image
Нечаянно наткнулся на статью thejimmahknows.com/site-to-site-ipsec-vpn-using-openswan-and-cisco-asa-9-13, тут прямо все красиво расписано, в том числе со стороны циски, может быть вам поможет. Или уже получилось? Если да, то поделитесь опытом :)
Я нечаянно столкнулся с этой проблемой, и решил проапдейтить свой пост:

Задача: нужно оставить выход в интернет по маршруту по умолчанию, но при этом видеть все хосты подсети VPN.

Логика: ppp по своей сути выдает маску 255.255.255.255 и изменить эту логику нельзя. Значит, надо писать маршруты на клиенте.
Как задавать спецмаршруты, я еще не исследовал, но как оказалось, если добавить в ppp/options параметры defaultroute и proxyarp, то все хосты заданные в local будут видны для подключившегося клиента.

Конфигурацию поправил.
Если я правильно понял вопрос, здесь не важно Racoon или Open/StrongSWAN, за выделение адресов L2TP клиентов отвечает ppp. «Из коробки» протокол point-to-point этого не позволяет, но люди говорят, что можно. Я экспериментально пока не подтвердил, но чисто теоретически требуется установить ppp-dhcp plugin для ppp, и будет вам счастье.

Я на досуге обязательно попробую и отпишусь о результатах.
Лишь бы вместе были и ни на секунду не расставались :)
Это не совсем сравнение, так как статья не претендует на объективность, скорее это мой способ решения поставленной задачи. Я тоже недостаточно хорошо разбираюсь во всех нюансах IPSec и его реализаций, могу только поделиться эмпирическим опытом: вот так плохо работает (у меня), а вот так — хорошо.

Что касается принципиальных различий, то openSWAN и strongSWAN — это форки одного проекта — FreeS/WAN, а Racoon — это часть ipsec-tools — порта KAME's IPSec tools с, если не ошибаюсь, FreeBSD на linux. То есть принципиальной разницы между openSWAN и strongSWAN по сравнению с racoon(ipsec-tools)нет.
Когда начали возникать описанные в статье проблемы с racoon, мне показалось, что у openSWAN больше комьюнити, плюс в баг-трекере ipsec-tools до сих пор есть незакрытые баги с segmentation fault, и поэтому я решил попробовать OpenSWAN. В результате мне показалось и надежней в работе, и удобней в настройке.

Information

Rating
Does not participate
Location
Providencia, Region Metropolitana, Чили
Registered
Activity