Добрый день!
Создал на основе двух OpenBSD6 сетевой мост между двумя зданиями. Все прекрасно, сеть без проблем, DHCP сервер и BOOTPC работают через мост без проблем. Подскажите, где прочитать или найти гайд по настройке IPSec на сетевом мосту. Все что я находил в сети относится к двум разным сетям и прочим NAT. У меня же просто одно сеть один большой диапазон. Хотелось бы такой же прозрачности на сетевом мосту, только с шифрованием.
Эка загнул...
Придеться тогда извращаться и делать инкапсуляцию, если вы L2 хотите в ipsec засунуть.
> Эка загнул...
> Придеться тогда извращаться и делать инкапсуляцию, если вы L2 хотите в
> ipsec засунуть.У меня пока нет понимания, как это должно работать. IPSec туннель между двумя OpenBSD ставится вообще без проблем, кучей разных способов. Но как добиться того, чтобы широковещалки и dhcp запросы проходили прозрачно и пинги бегали.
>> Эка загнул...
>> Придеться тогда извращаться и делать инкапсуляцию, если вы L2 хотите в
>> ipsec засунуть.
> У меня пока нет понимания, как это должно работать. IPSec туннель
> между двумя OpenBSD ставится вообще без проблем, кучей разных способов. Но
> как добиться того, чтобы широковещалки и dhcp запросы проходили прозрачно и
> пинги бегали.Сделай туннель, такой "чтобы широковещалки и dhcp запросы проходили прозрачно и
пинги бегали". Затем заверни трафик туннеля в IPSec.
> Сделай туннель, такой "чтобы широковещалки и dhcp запросы проходили прозрачно и
> пинги бегали". Затем заверни трафик туннеля в IPSec.Каким образом трафик в туннель завернуть? Через pf (route-to) или через статические маршруты?
>> Сделай туннель, такой "чтобы широковещалки и dhcp запросы проходили прозрачно и
>> пинги бегали". Затем заверни трафик туннеля в IPSec.
> Каким образом трафик в туннель завернуть? Через pf (route-to) или через статические
> маршруты?как-то эти буквы не сочетаются со словами "широковещалки".
Я не опенбсдшник, но схема такая:
1) https://www.google.com/#q=openbsd+bridge+tunnel
2) http://man.openbsd.org/etherip.4
По второй ссылке расписано требуемое вам решение.
> 2) http://man.openbsd.org/etherip.4
> По второй ссылке расписано требуемое вам решение.Да, спасибо. Сейчас с ipsec разбираюсь. По мануалу, что по ссылке, как только поднимается ipsec туннель, etherip разваливается. Буду искать причину.
>> 2) http://man.openbsd.org/etherip.4
>> По второй ссылке расписано требуемое вам решение.
> Да, спасибо. Сейчас с ipsec разбираюсь. По мануалу, что по ссылке, как
> только поднимается ipsec туннель, etherip разваливается. Буду искать причину.В моем понимании это означает, что ipsec не подымается.
>>> 2) http://man.openbsd.org/etherip.4
>>> По второй ссылке расписано требуемое вам решение.
>> Да, спасибо. Сейчас с ipsec разбираюсь. По мануалу, что по ссылке, как
>> только поднимается ipsec туннель, etherip разваливается. Буду искать причину.
> В моем понимании это означает, что ipsec не подымается.Если использовать, по мануалу, ipsec.conf типа статик
esp from 1.2.3.4 to 4.3.2.1 spi 0x4242:0x4243 \
authkey file "xxxx:yyyy" enckey file "xxx.enc1:xxx.enc2"
flow esp proto etherip from 1.2.3.4 to 4.3.2.1
то в etherip не идут пакеты, те фактически IPSec не работает и соответственно все внешнии соединения
рвутся.
Но при использовании второго варианта с isakmpd
ike esp proto etherip from 1.2.3.4 to 4.3.2.1
ike passive esp proto etherip from 4.3.2.1 to 1.2.3.4все отлично работает(просто нужно было добавить passive и скопировать ключи). Шифрованный туннель работает прекрасно. Почему не работает первый вариант я так и не понял. Надо попробовать еще раз.