Я пытаюсь использовать Strongswan для создания туннеля Ipsec на сервере с Netplan. Netplan в настоящее время не имеет конфигурации для тоннель1
и тоннель2
интерфейсы, которые Ipsec вызывает при создании туннелей. Мне это кажется (почти) правильным.
Службы ipsec запускают сценарий, который создает туннель[1,2]
интерфейсы (их можно было бы назвать вти[1,2]
если надо). Если туннель выйдет из строя, ipsec отключит связанный с ним интерфейс (используя этот сценарий). Этот сценарий также устанавливает маршрут для сети по другую сторону VPN. Этот маршрут сохраняется только до запуска Netplan, после чего он удаляется. туннель
интерфейсы выглядят так:
25: туннель2@НЕТ: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1419 qdisc noqueue state UNKNOWN group default qlen 1000
ссылка/ipip 1.2.3.4 партнер 2.3.4.5
инет 169.254.9.238 одноранговый узел 169.254.9.237/30 глобальный туннель2
valid_lft навсегда
ссылка на область inet6 fe80::200:5efe:c6f4:8f78/64
valid_lft навсегда
26: тоннель1@НЕТ: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1419 qdisc noqueue state UNKNOWN group default qlen 1000
ссылка/ipip 1.2.3.4 партнер 3.4.5.6
инет 169.254.199.162 одноранговый узел 169.254.199.161/30 глобальный туннель1
valid_lft навсегда
ссылка на область inet6 fe80::200:5efe:c6f4:8f78/64
valid_lft навсегда
Маршрут, который я хотел бы добавить через netplan, можно добавить вручную следующим образом:
ip route add 10.1.0.0/16 dev Tunnel1 Scope Link SRC 10.0.16.170/24 Метрика 100
Есть ли способ сообщить netplan любой из них:
- оставить маршруты для конкретных интерфейсов/пунктов назначения в покое?
- Чтобы указать netplan игнорировать все, что связано с
туннель[1,2]
интерфейсы?
- указать netplan создавать маршруты для интерфейсов, которые не существуют и не находятся под его контролем?
...или любой другой способ заставить Netplan хорошо работать с ipsec. Я бы предпочел не идти по «тяжелому» пути отключения сетевого плана только для того, чтобы мои VPN ipsec работали.
Как правильно собрать все это вместе?