А то, что демон, реализующий IPsec, ещё и заботится о заполнении таблицы маршрутизации - приятное следствие, он не обязан это делать.
Ничего подобного он не делает.
Чтобы пакет долетел через два туннеля, достаточно чтобы был настроен самый обычный "выход в интернет" на обоих шлюзах. Да, ESP заюзает роутинг - когда ESP-пакет уже будет готов, зашифрован и подписан, он отправится в тырнет по общим правилам маршрутизации - с учетом шлюзов, метрик и балансировки. Но если в таблице маршрутов есть запись направлять "все пакеты туда-то" (а она там непременно есть, default route как минимум), а в SPD - запись, которая предписывает пакеты "оттуда-то туда-то" пускать совершенно другим путем, выполняться будет действие, предписанное SPD.
его задача определить, шифровать ли пакет и чем, после того, как routing engine определил следующий хоп
Че?
То, что мы называем IPSec - это как правило "сладкая парочка" из IKE (ISAKMP) и ESP, которые суть два самостоятельных протокола. IKE занимается тем, что согласовывает сертификаты-пароли, таймауты и параметры шифровальных наборов, заполняет SAD (SPD заполняет либо юзер либо шван) и именно он отдает готовый туннель. И именно его логи мы изучаем, когда понять не можем почему не вяжется. А ESP - транспортный уровень, он доставляет шифрованные пакеты. Нет в IKE никакого routing engine - только SPD, которая должна иметь к этому времени нужную запись (иначе пакеты не будут шифроваться и пойдут как раз в общий routing engine).
И, блин, еще раз - для IPSec не нужна маршрутизация "внутренних" подсетей (в отличие от openvpn) - только знание того, как доставить пакеты IKE и ESP между "внешними" адресами.
Нет, остальные IP не их. Они просто у прова в сегменте 56.53.64.202/29, где шлюзом дальше в структуру прова является 56.53.64.201, а на остальных IP сидят другие клиенты. А за этим IP - их подсетка 56.53.60.0/29, где 56.53.60.1 - 56.53.60.6 - действующие раздаваемые IP.
Правда почему не работает, не скажу. Держать маршрутизатор на винде может только очень храбрый либо очень глупый человек...
aww1, Никак.
Только делать мониторинг реестра - копия до, копия после. Но и это не сработает, если например программа создает в дебрях каталога винды, program files, program data или еще где угодно какие-нибудь файлы-метки или например банально считывает данные компа и отправляет их в процессе установки на сервер регистрации.
ettaluni, Блин, тут уже был один чел, у которого была похожая картина - как будто вы по одному гайду делали :)
Что здесь можно сказать.
Первая политика - "все, идущее с 10.1.22.1, запаковать в ESP, поставить src ip 192.168.0.82, dst ip который замазан, зашифровать по spi такому-то и отправить в тырнет"
Вторая и третья - "все, что пришло на 10.1.22.1 с src ip который замазн и dst ip 192.168.0.82..." - почему я поставил точки - потому что тут должен стоять spi, по которому расшифровывается пакет, я вовсе не уверен, что политика рабочая (но для этого мне нужно глянуть рабочее соединение, а у меня в основном микротик-микротик)
nidalee, Это от игралки зависит. Какие-то понимают, что файло где-то в #опе мира - и сначала буферизуют его, а уже потом играют (и по ходу параллельно буферизуют), а какие-то - не понимают и тупо считают - раз шара, значит локалка. Проблемы несомненно будут, хотя например у меня между домом и "домашним" севером - VPN, а порнушку я смотрю с нормальной скоростью, без задержек
Елы-палы, сколько раз уже писал - шваны и вообще IPSec не использует маршрутизацию для доставки пакетов. Ну точнее говоря, он ее использует, но потом. Для определения куда надо отправить пакет и в каком виде его туда упаковать используются политики, которые строятся на основе конфигов швана
О, у меня есть такой... Там некие неприличные фотки :) Под них специально была куплена флэшка с аппаратным шифрованием, а пока она ехала - свернул в архив, поставил "простенький" пароль... И только когда флэшка пришла, я понял, что я пароль НЕ ПОМНЮ! Это был фейспалм...
Когда-нибудь я его конечно взломаю - и там окажется пароль типа "ЖопаСРучкой!" :)
Никогда и ничего НЕ делай с директорией /root! Она вынесена отдельно ото всех вовсе не зря! Если у тебя тяму не хватает что-то запустить не из-под рута - ну линух-то тут причем?
Keffer, Плюс стопицот. Туннели на IPSec между микротиками стоят годами и не падают (а если падают, то есть очевидная причина - нет связи, сдох сертификат etc)
Ничего подобного он не делает.
Чтобы пакет долетел через два туннеля, достаточно чтобы был настроен самый обычный "выход в интернет" на обоих шлюзах. Да, ESP заюзает роутинг - когда ESP-пакет уже будет готов, зашифрован и подписан, он отправится в тырнет по общим правилам маршрутизации - с учетом шлюзов, метрик и балансировки. Но если в таблице маршрутов есть запись направлять "все пакеты туда-то" (а она там непременно есть, default route как минимум), а в SPD - запись, которая предписывает пакеты "оттуда-то туда-то" пускать совершенно другим путем, выполняться будет действие, предписанное SPD.
Че?
То, что мы называем IPSec - это как правило "сладкая парочка" из IKE (ISAKMP) и ESP, которые суть два самостоятельных протокола. IKE занимается тем, что согласовывает сертификаты-пароли, таймауты и параметры шифровальных наборов, заполняет SAD (SPD заполняет либо юзер либо шван) и именно он отдает готовый туннель. И именно его логи мы изучаем, когда понять не можем почему не вяжется. А ESP - транспортный уровень, он доставляет шифрованные пакеты. Нет в IKE никакого routing engine - только SPD, которая должна иметь к этому времени нужную запись (иначе пакеты не будут шифроваться и пойдут как раз в общий routing engine).
И, блин, еще раз - для IPSec не нужна маршрутизация "внутренних" подсетей (в отличие от openvpn) - только знание того, как доставить пакеты IKE и ESP между "внешними" адресами.