Добрый день. Ради удовольствия решил попробовать ospf over ipsec без GRE/L2TP, короче без дополнительных заголовков кроме IPSEC в туннельном режиме.
использую strongswan + bird[4,6].
ipsec traffic selector 0/0, ::/0 слева и справа.
далее для всех сетевых интерфейсов делается отключение политик выбора трафика для ipsec:
net.ipv4.conf.[перебор всех интерфейсов].disable_policy=1
и отключение непосредственно ipsec для всех интерфейсов кроме vti0 таким же образом
После этого навешиваем на VTI интерфейсы IPv4 адреса и bird начинает обмениваться OSPF LSA - короче всё работает...
А вот с IPv6...
Назначил на туннель адреса fe80::1/64 и fe80::2/64 c двух сторон (я понимаю какой это scope и т.п., для openvpn это отлично работает) НО как отключить политики IPSec (disable_policy) я не нашел, по-этому весь ipv6 трафик попадает в туннель и вся IPv6 составляющая не работает... disable_policy для IPv6 я не нашел, пишут что работает то что в разделе с IPv4 но, по всему виду с IPv6 происходят все те же грабли которые я проходил с IPv4 и решал отключением политик и преобразования на всех интерфейсах кроме туннельных.
Может кто пролить свет на то как побороть IPv6 в части IPSec?
debug:
До поднятия ipsec подключения на сервере нормально работает IPv6 (пингуется интернет, бегает v6 трафик по openvpn туннелю, работает bird6) после же его поднятия жизнь останавливается - начинают работать ipsec traffic selector-ы ::0/0.
в ip -6 route , ip -6 rule нет ни чего не обычного.
charon {
install_route=no;
}
как по мне дак надо отключать политики отбора на интерфейсах, но параметров аналогичным для IPv4 для v6 тупо нет :(.
да, VTI интерфейс в реале ничего не делает, но весь трафик который в него попадает проверяется на соответствие селектору который определен для данного туннеля и собственно, если соответствует то всё передается если нет то network unreachable и всё. https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN
кстати эти фишки с отключением политик описаны на сайте IBM:
https://www.ibm.com/support/knowledgecenter/en/SST55W_4.3.0/liaca/liaca_cfg_ipsec_vti.html
Готов пояснить или дополнить информацией...