Приветствую, господа.
Прошу совета вашего в следующем.
Дано: несколько виртуальных машин linux в разных датацентрах.
Хочется: Странного, наверно. Настроить ipsec (racoon, strongswan или вручную, не важно) в таком режиме, чтобы у каждого хоста был один файл конфигурации по типу, есть я, а вот есть одна-две подсетей (короче, они), со всеми ними я включаю ipsec. Все участники равноправные, не клиент-сервер.
Для чего хочу этого. Чтобы не прописывать все соединения
1хост - 2хост
1хост - 3хост
1хост - 4хост и т.д.
на каждой машине. И чтобы при добавлении нового хоста не нужно было на все машины залезать и везде добавлять новый хост. Смотрел разную документацию, но ничего аналогичного не нашел. Есть несколько типовых сценариев и мой никуда в них не помещается.
Host2host,network2network (для гейтвеев, когда две машины маршутизируют и криптуют трафик между двумя подсетями) и client2server.
Если вручную, то
ip xfrm state ( add src x.x.x.x/32 dst x.x.x.x/28 proto esp spi 1 enc $enc $enckey )
не оперирует подсетями, отбрасывает маску подсети в отличии от ip xfrm policy, в котором маска подсети остается.
У strongswan не нашел, чтобы в /etc/ipsec.conf в значение right можно было бы оперировать подсетями. Типа
con ipsec
...
left = я
right = все они.
...
Есть rightsubnet, но это для режима, когда хост работает в роли гейтвейя. В сценарии клиент-сервер у strongswan есть возможность указать, что ip у подключающихся клиентов динамический, но, тогда хост, я так понимаю, будет считать, что он исключительно сервер и пассивно ждать соединений. М.б. я здесь не прав и нужно как раз копать здесь.
Пока, опечаленный сим, думаю над тем, чтобы добавить скрипт для генерации файла конфигурации на основе списка хостов, так как маршрутизировать трафик через пару машин в моем случае все-таки не вариант.