Netplan și Ipsec - spune-i lui netplan să lase interfața în pace?

Încerc să folosesc Strongswan pentru a crea un tunel Ipsec pe un server cu Netplan. Netplan nu are în prezent nicio configurație pentru tunel1 și tunel2 interfețe pe care Ipsec le afișează când sunt create tunelurile. Acest lucru mi se pare (aproape) corect.

Serviciile ipsec rulează un script care creează tunel[1,2] interfețe (acestea ar putea eventual numite vti[1,2] dacă este nevoie). Dacă un tunel eșuează, ipsec va „coborî” interfața asociată cu acesta (folosind acest script). Acest script setează, de asemenea, o rută pentru rețeaua de cealaltă parte a VPN. Această rută persistă doar până când Netplan rulează, după care este eliminată. The tunel interfețele arată astfel:

25: tunnel2@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1419 qdisc noqueue state UNKNOWN grup implicit qlen 1000
    link/ipip 1.2.3.4 peer 2.3.4.5
    inet 169.254.9.238 peer 169.254.9.237/30 domeniu global tunel2
       valid_lft pentru totdeauna preferred_lft pentru totdeauna
    inet6 fe80::200:5efe:c6f4:8f78/64 scope link
       valid_lft pentru totdeauna preferred_lft pentru totdeauna
26: tunnel1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1419 qdisc noqueue state UNKNOWN grup implicit qlen 1000
    link/ipip 1.2.3.4 peer 3.4.5.6
    inet 169.254.199.162 peer 169.254.199.161/30 domeniu global tunel1
       valid_lft pentru totdeauna preferred_lft pentru totdeauna
    inet6 fe80::200:5efe:c6f4:8f78/64 scope link
       valid_lft pentru totdeauna preferred_lft pentru totdeauna

Ruta pe care aș dori să o adaug prin netplan poate fi adăugată manual astfel:

IP route add 10.1.0.0/16 dev tunnel1 scope link src 10.0.16.170/24 metric 100

Există vreo modalitate de a spune netplan-ului oricare dintre acestea:

• pentru a lăsa în pace rutele pentru anumite interfețe/destinații?
• Pentru a spune netplan să ignore orice are de-a face cu tunel[1,2] interfețe?
• să spună netplanului să creeze rute pentru interfețele care nu există și nu sunt sub controlul său?

...sau orice alt mod de a face Netplan să joace frumos cu ipsec. Aș prefera să nu trebuiască să merg pe calea „grea” de dezactivare a netplan-ului doar pentru a-mi face VPN-urile ipsec să funcționeze.

Care este modalitatea corectă de a face toate aceste lucruri să stea împreună?

Problema este cauzată de systemd-networkd. Va elimina rutele despre care nu le cunoaște la o dată ulterioară. Răspunsesem anterior că a face dispozitive „negestionate” ar rezolva problema, dar, din păcate, nu:

[Meci]
Nume=tunnel1

[Legătură]
Negestionat=da

Această soluție pare să oprească systemd-networkd să creeze orice configurație pentru dispozitivul negestionat, dar nu o împiedică să elimine toată configurația atunci când oprește toate dispozitivele de rețea (ceea ce face în timpul repornirilor).

Configurarea completă a dispozitivelor și rutelor în rețea (sau netplan) nu funcționează din cauza probleme de comanda de configurare.

Până acum, singura soluție viabilă pe care am găsit-o este să dezactivați complet și opriți systemd-networkd (și dezinstalați Netplan deoarece nu mai este necesar). Aceasta pare o soluție destul de drastică și înseamnă că unele funcționalități sunt pierdute. În cazul meu, nu cred că este o problemă, dar poate fi pentru unii.

Nu trebuie să spuneți netplanului să ignore o interfață. Schimbă doar configurația interfețelor pe care i se spune. Dar se pare că ceea ce doriți aici este să utilizați netplan pentru a adăuga o rută la o interfață pe care netplan nu o gestionează și care nu este acceptată.

În primul rând, dacă la un moment dat tunelul tău scade, netplan nu este în măsură să citească traseul.

Orice folosiți pentru a gestiona tunelurile IPsec ar trebui să aibă și suport pentru adăugarea de rute. Chiar nu este nevoie să le gestionați separat și, așa cum sa menționat mai sus, acest lucru împiedică sistemul să gestioneze corect evenimentele de repornire a tunelului