Что: 98233e636af71ec441ad68f32e35d430c3264281
Когда: 2020-01-10 23:59:00+03:00
------------------------------------------------------------------------
Темы: ipsec tip
------------------------------------------------------------------------
strongSwan без проблем работает с if_ipsec туннелями

Пару лет назад в 4fd50729cbda852f89101b587ec7483fdda2108c писал что в
FreeBSD есть возможность создания ipsec-интерфейсов которые
автоматически устанавливают SP в ядро с туннеллированием пакетов по этим
интерфейсам ходящих. Но я тогда тестировал это с racoon-ом, с которого
уже давно слез. strongSwan оказалось не сложно подружить с этими SP,
просто сказав что не надо явно устанавливать policies и "связать" reqid
созданного туннеля с правилом из strongSwan. Например:

    ipsec0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1400
            tunnel inet6 fc00::7a00 --> fc00::98f1
            inet6 fe80::9a40:bbff:fe45:e810%ipsec0/64 scopeid 0x8
            inet6 fd::dc/64
            groups: ipsec
            reqid: 12345
            nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>

    conn SOME-REMOTE
            left=fc00::7a00
            right=fc00::98f1
            type=tunnel
            rightid=@SOME.stargrave.org
            auto=start
            installpolicy=no
            reqid=12345

При прохождении трафика ipsec0 запросит наличие SA, strongSwan его
предоставит, трафик будет ходить зашифрованным.

------------------------------------------------------------------------
оставить комментарий: mailto:comment@blog.stargrave.org?subject=Re:%20strongSwan%20%D0%B1%D0%B5%D0%B7%20%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%20%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D0%B5%D1%82%20%D1%81%20if_ipsec%20%D1%82%D1%83%D0%BD%D0%BD%D0%B5%D0%BB%D1%8F%D0%BC%D0%B8%20%2898233e636af71ec441ad68f32e35d430c3264281%29

------------------------------------------------------------------------
Сгенерирован: SGBlog 0.34.0