xl2tpd + ipsec - автомтически включать/выключать ipsec при поднятии/закрытии тоннеля

naszar	# 9 лет назад
Темы: 21 Сообщения: 507 Участник с: 24 сентября 2012	Собственно интересно, как сделать так, чтобы не надо было делать ipsec auto --up l2tp-psk перед поднятием xl2tpd. Умеет ли openswan, увидев, что пакет идет в соединение которое должно шифроваться , поднять это соединение а по после неиспользования в течении какого-то времени - отключить. А то даже при опущеном тоннеле летают NAT keepalive. Как вариант, конечно можно написать в ipsec.conf auto=start и поставить openswan.service зависимостью к xl2tpd.service. Но может есть какой-либо более правильный путь?

# 9 лет назад

Сообщения: 507

Участник с: 24 сентября 2012

Собственно интересно, как сделать так, чтобы не надо было делать

ipsec auto --up l2tp-psk

перед поднятием xl2tpd. Умеет ли openswan, увидев, что пакет идет в соединение которое должно шифроваться , поднять это соединение а по после неиспользования в течении какого-то времени - отключить. А то даже при опущеном тоннеле летают NAT keepalive. Как вариант, конечно можно написать в ipsec.conf

 auto=start

и поставить openswan.service зависимостью к xl2tpd.service. Но может есть какой-либо более правильный путь?

naszar	# 8 лет, 11 месяцев назад
Темы: 21 Сообщения: 507 Участник с: 24 сентября 2012	Модератор, а можно тему удалить?

vadik	# 8 лет, 11 месяцев назад
Темы: 55 Сообщения: 5395 Участник с: 17 августа 2009	naszar Модератор, а можно тему удалить? Можно конечно, но зачем? Напишите решение и добавьте в название [РЕШЕНО].

naszar	# 8 лет, 11 месяцев назад
Темы: 21 Сообщения: 507 Участник с: 24 сентября 2012	Напишите решение и добавьте в название [РЕШЕНО]. А вы с юмором... дело в том, что ниасилил... Вообще я думал, что коли openswan умеет хватать пакеты идущие в определенное соединение, шифровать их и перекладывать их в совой тоннель, то его можно научить поднимать это тоннель при первом появлении пакета в этом соединении... насколько я понял - не умеет. Все на что ума хватило, это написать .service по мотивам wiki. Только я почемуто сначала поднимал ipsec, а затем xl2tpd.. Ну и сама связка xl2tpd + openswan не особо впечатлила - то ли сыровато, то ли не задумано что оно будит работать на не очень качественном канале, но раз - два в день тоннель падает. Пока думаю посмотреть в сторону racoon и вроде в ядре реализация ipsec зреет... выберу что поудачнее - и начальничком.. ввиду того, что всем этом нет насущной необходимости, а просто интересно - ковыряюсь медленно и в охоточку...

naszar

# 8 лет, 11 месяцев назад

Темы: 21

Сообщения: 507

Участник с: 24 сентября 2012

Напишите решение и добавьте в название [РЕШЕНО].

А вы с юмором... дело в том, что ниасилил...
Вообще я думал, что коли openswan умеет хватать пакеты идущие в определенное соединение, шифровать их и перекладывать их в совой тоннель, то его можно научить поднимать это тоннель при первом появлении пакета в этом соединении... насколько я понял - не умеет. Все на что ума хватило, это написать .service по мотивам wiki. Только я почемуто сначала поднимал ipsec, а затем xl2tpd..
Ну и сама связка xl2tpd + openswan не особо впечатлила - то ли сыровато, то ли не задумано что оно будит работать на не очень качественном канале, но раз - два в день тоннель падает. Пока думаю посмотреть в сторону racoon и вроде в ядре реализация ipsec зреет... выберу что поудачнее - и начальничком.. ввиду того, что всем этом нет насущной необходимости, а просто интересно - ковыряюсь медленно и в охоточку...