Netplan и Ipsec - скажите netplan оставить интерфейс в покое?

Я пытаюсь использовать Strongswan для создания туннеля Ipsec на сервере с Netplan. Netplan в настоящее время не имеет конфигурации для тоннель1 и тоннель2 интерфейсы, которые Ipsec вызывает при создании туннелей. Мне это кажется (почти) правильным.

Службы ipsec запускают сценарий, который создает туннель[1,2] интерфейсы (их можно было бы назвать вти[1,2] если надо). Если туннель выйдет из строя, ipsec отключит связанный с ним интерфейс (используя этот сценарий). Этот сценарий также устанавливает маршрут для сети по другую сторону VPN. Этот маршрут сохраняется только до запуска Netplan, после чего он удаляется. туннель интерфейсы выглядят так:

25: туннель2@НЕТ: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1419 qdisc noqueue state UNKNOWN group default qlen 1000
    ссылка/ipip 1.2.3.4 партнер 2.3.4.5
    инет 169.254.9.238 одноранговый узел 169.254.9.237/30 глобальный туннель2
       valid_lft навсегда
    ссылка на область inet6 fe80::200:5efe:c6f4:8f78/64
       valid_lft навсегда
26: тоннель1@НЕТ: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1419 qdisc noqueue state UNKNOWN group default qlen 1000
    ссылка/ipip 1.2.3.4 партнер 3.4.5.6
    инет 169.254.199.162 одноранговый узел 169.254.199.161/30 глобальный туннель1
       valid_lft навсегда
    ссылка на область inet6 fe80::200:5efe:c6f4:8f78/64
       valid_lft навсегда

Маршрут, который я хотел бы добавить через netplan, можно добавить вручную следующим образом:

ip route add 10.1.0.0/16 dev Tunnel1 Scope Link SRC 10.0.16.170/24 Метрика 100

Есть ли способ сообщить netplan любой из них:

• оставить маршруты для конкретных интерфейсов/пунктов назначения в покое?
• Чтобы указать netplan игнорировать все, что связано с туннель[1,2] интерфейсы?
• указать netplan создавать маршруты для интерфейсов, которые не существуют и не находятся под его контролем?

...или любой другой способ заставить Netplan хорошо работать с ipsec. Я бы предпочел не идти по «тяжелому» пути отключения сетевого плана только для того, чтобы мои VPN ipsec работали.

Как правильно собрать все это вместе?

Проблема вызвана systemd-networkd. Позже он удалит маршруты, о которых ему ничего не известно. Ранее я ответил, что создание «неуправляемых» устройств решит проблему, но, к сожалению, это не так:

[Соответствовать]
Имя=туннель1

[Соединять]
Неуправляемый=да

Это решение, по-видимому, не позволяет systemd-networkd создавать любую конфигурацию для неуправляемого устройства, но не мешает удалению всей этой конфигурации при остановке всех сетевых устройств (что происходит во время перезапуска).

Полная настройка устройств и маршрутов в сети (или в плане сети) не работает из-за проблемы с заказом конфигурации.

Пока единственное жизнеспособное решение, которое я нашел, это полностью отключить и остановить systemd-networkd (и удалите Netplan, так как он больше не нужен). Это кажется довольно радикальным решением и означает потерю некоторых функций. В моем случае я не думаю, что это проблема, но может быть для некоторых.

Вам не нужно указывать netplan игнорировать интерфейс. Он только изменяет конфигурацию интерфейсов, которым он сказал. Но похоже, что здесь вам нужно использовать netplan для добавления маршрута к интерфейсу, которым netplan не управляет и который не поддерживается.

Во-первых, если в какой-то момент ваш туннель обрывается, netplan не сможет прочитать маршрут.

Все, что вы используете для управления туннелями IPsec, также должно поддерживать добавление маршрутов. На самом деле нет необходимости управлять ими отдельно, и, как упоминалось выше, это мешает системе правильно обрабатывать события перезапуска туннеля.