Y
и какое отношение маршруты имеют к полиси?
никакого. ты как всегда слышышь звон...
Size: a a a
2019 December 05
L
потому что ipsec не трогает таблицу маршрутизации
коллеги, есть ссылочка по теме какая нить?
VB
я думаю проще разрулить на фаерволе
VB
что куда можно
E
никакого. ты как всегда слышышь звон...
собсно, слышу ровно то, что звучит :)
L
проi ipsex, полиси, туннели, etc
VB
ну для начала в вики микрота про ipsec
VB
потом в других источниках по возникшим пробелам из повествования вики
Y
я думаю проще разрулить на фаерволе
это да... но нужена еще редистрибьюция в ospf
NT
ipsec это магия отдельно от роутинга - магия телепорта пакетов
Ага :)
Y
собсно, слышу ровно то, что звучит :)
вырываешь из контекста
Y
т.е что получается - пакет по роутингу ассоциируется с интерфейсом. потом если есть полиси - упаковывается в ipsec и потом еще раз routing уже с новым ip заголовком??
Y
т.е. если я делаю так - add distance=1 dst-address=192.168.0.0/16 gateway=10.0.0.3 - где 10.0.0.3 ЛЮБОЙ хост в сети, то пакеты для которых есть IPSEC-полиси успешно достигнут цели. если ставлю тип unrechable то пипец - все пропало...
Y
похоже, придется искать blackhole в сети) или убивать пакеты посредством ttl expire )))
Y
шутки шутками, но я не вижу другого выхода
ST
т.е. если я делаю так - add distance=1 dst-address=192.168.0.0/16 gateway=10.0.0.3 - где 10.0.0.3 ЛЮБОЙ хост в сети, то пакеты для которых есть IPSEC-полиси успешно достигнут цели. если ставлю тип unrechable то пипец - все пропало...
а как он дойдет до айписека если айписек(очень грубо говоря) отрабатывается уже на моменте выхода в физический интерфейс. Ты же убиваешь пакеты еще до этого момента.
VB
шутки шутками, но я не вижу другого выхода
ты куда хочешь доставить общий маршрут?
Y
а как он дойдет до айписека если айписек(очень грубо говоря) отрабатывается уже на моменте выхода в физический интерфейс. Ты же убиваешь пакеты еще до этого момента.
да какая разница куда отправлять пакет, если у него будет НОВЫЙ заголовок... Ну, ок. в транспортном режиме, старый, но это сути дела не меняет...
Y
ты куда хочешь доставить общий маршрут?
в null0
VB
нет я имею ввиду кто должен получить такой маршрут