Некоторые из вас знают/помнят мою странную и болезненную любовь к ipsec во всех его видах (лучше всего конечно route-based).
Так вот, из свежих приколов strongswan на свежей же убунте
-
демоны strongswan и strongswan-starter борются за внимание charon (ike-демон, который тоже есть "старый" и "новый" - charon-systemd). По умолчанию включены оба, поэтому возможны спецэффекты типа теряющихся SA, которые даже в tcpdump не видны. Удачной отладки, ага.
-
вообще сам по себе strongswan - это лютейшая мешанина разных плагинов/опций/алгоритмов, часть из которых типа легаси, часть типа новая, и в какой конкретно конфигурации это заедет к тебе - решительно неясно. Кажется, единственно нормальный вариант - сносить все конфиги с нуля и прописывать свой, где всё нужно будет явно указано, а ненужное явно выключено. А лучше (под линукс) всё ещё ничего нет
-
помните моё приключение? Закономерности я не уловил (причём на Debian 13 поведение не воспроизводится), но чтобы избежать проблем, нужно в конфиге charon включить плагин bypass-lan и там указать interfaces_use = $wan_if. Тогда проблем не будет.
а в остальном оно просто работает, да
В этом посте были ссылки, но мы их удалили по правилам Сетки
