Нашёл нечто такое, хотя не уверен что это на указанный компонент

А откуда метрика в 500 то? Или здесь не о микротах?

Не. Не микротик. В винде роут

Просто чат с тематикой смежной - не знаю куда еще стукнуться

В микротах маршруты с метрикой в 255+ неактивны всегда. Не знаю как винда этим рулит, но метрика в 500 на первый взгляд это что-то не то

ну это просто поднял так ручками. Чтоб точно)

Распиновка иная

@bonifazi , вобщем в тунеле бегает лишь OSPF и ещё должен DNS, но я вижу лишь OSPF трафик, DNSа нет, хотя клиент дёргает DNS VPN сервера на предмет резольвинга.
Смотрю торчем, и там нет 53 порта от слова совсем.

Это тиковцы намудрили что то или я упорот?

подскажите нубу в теме (за терминологию не ручаюсь). вот допустим есть икев2 сервер. есть клиент - линуксовый десктоп с настройками сети через NM. и я хочу настроить подключение и пустить туда только нужное. добавление в роуты (настройка доп.маршрутов данного впн подключения) не дает эффекта - все продолжает улетать в туннель. я начал копаться, и там вроде по полиси че-то определяется куда пакеты гнать. собсно есть ли возможность только через графику в NM настроить нужное поведение? или надо CLI? или надо вообще в конфигах strongswan делать в обход NM?

Где-то тыкнул чтобы в линк кидало всё подряд. Вбей route, затем ищи где налажал

не-не. там есть две галки в графике - не юзать роуты, полученные при коннекте и использовать только для сетей этого коннекта. яхз как и что делают, но они включены. и тут дело не в классических роутах, а в фиготе типа полиси-роутинга или типа того, только тут еще шифрование. вот эта фигня решает, что надо пакет шифрануть и заслать в туннель.

Тебе роуты прилетают и какие? Если прилетают то проблема не в полиси

никакие

На работе гляну, что там есть в NM, но в первую очередь вам необходимо смотреть на стороне сервера, что вы объявляете в Traffic Selector Payload и Configuration Payload.

IKEv2 не объявляет маршруты, он объявляет INTERNAL_IP4_SUBNET attribute в Configuration Payload.

«INTERNAL_IP4/6_SUBNET attributes can indicate additional subnets, ones that need one or more separate SAs, that can be reached through the gateway that announces the attributes. INTERNAL_IP4/6_SUBNET attributes may also express the gateway's policy about what traffic should be sent through the gateway; the client can choose whether other traffic (covered by TSr, but not in INTERNAL_IP4/6_SUBNET) is sent through the gateway or directly to the destination. Thus, traffic to the addresses listed in the INTERNAL_IP4/6_SUBNET attributes should be sent through the gateway that announces the attributes. If there are no existing Child SAs whose Traffic Selectors cover the address in question, new SAs need to be created.»

Реализации поддерживающие route-based IPSec (VTI) могут наверняка использовать данные атрибуты для генерации маршрутов и помещения их в RIB, но стандартом такое поведение не регламентировано.

А почему ископаемое? Отличный роутер за свои деньги. Функции свои выполняет на ура. Натит гигабит из интернета без проблем. Чего ещё надо?

И как тогда без добавления в RIB этот самый NM будет интерпретировать прилетевшие атрибуты?

Он никак, StrongSwan или его аналог будет их интерпретировать и обновлять или не обновлять в SPD записи.

спасибо. было бы здорово