Încerc să folosesc Strongswan pentru a crea un tunel Ipsec pe un server cu Netplan. Netplan nu are în prezent nicio configurație pentru tunel1
și tunel2
interfețe pe care Ipsec le afișează când sunt create tunelurile. Acest lucru mi se pare (aproape) corect.
Serviciile ipsec rulează un script care creează tunel[1,2]
interfețe (acestea ar putea eventual numite vti[1,2]
dacă este nevoie). Dacă un tunel eșuează, ipsec va „coborî” interfața asociată cu acesta (folosind acest script). Acest script setează, de asemenea, o rută pentru rețeaua de cealaltă parte a VPN. Această rută persistă doar până când Netplan rulează, după care este eliminată. The tunel
interfețele arată astfel:
25: tunnel2@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1419 qdisc noqueue state UNKNOWN grup implicit qlen 1000
link/ipip 1.2.3.4 peer 2.3.4.5
inet 169.254.9.238 peer 169.254.9.237/30 domeniu global tunel2
valid_lft pentru totdeauna preferred_lft pentru totdeauna
inet6 fe80::200:5efe:c6f4:8f78/64 scope link
valid_lft pentru totdeauna preferred_lft pentru totdeauna
26: tunnel1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1419 qdisc noqueue state UNKNOWN grup implicit qlen 1000
link/ipip 1.2.3.4 peer 3.4.5.6
inet 169.254.199.162 peer 169.254.199.161/30 domeniu global tunel1
valid_lft pentru totdeauna preferred_lft pentru totdeauna
inet6 fe80::200:5efe:c6f4:8f78/64 scope link
valid_lft pentru totdeauna preferred_lft pentru totdeauna
Ruta pe care aș dori să o adaug prin netplan poate fi adăugată manual astfel:
IP route add 10.1.0.0/16 dev tunnel1 scope link src 10.0.16.170/24 metric 100
Există vreo modalitate de a spune netplan-ului oricare dintre acestea:
- pentru a lăsa în pace rutele pentru anumite interfețe/destinații?
- Pentru a spune netplan să ignore orice are de-a face cu
tunel[1,2]
interfețe?
- să spună netplanului să creeze rute pentru interfețele care nu există și nu sunt sub controlul său?
...sau orice alt mod de a face Netplan să joace frumos cu ipsec. Aș prefera să nu trebuiască să merg pe calea „grea” de dezactivare a netplan-ului doar pentru a-mi face VPN-urile ipsec să funcționeze.
Care este modalitatea corectă de a face toate aceste lucruri să stea împreună?