MG
Пакет гре?
Который упадет по кипалайву?
Или пакет из внутренних сетей? Который тоже бфд потеряет?
Который упадет по кипалайву?
Или пакет из внутренних сетей? Который тоже бфд потеряет?
Size: a a a
2021 February 09
MG
В смысле не бфд потеряет, а который больше не будет иметь роута кроме дефолта, форвард которого запрещается одним правилом
K
Да, полетит по дефолту. По поводу правила затрудняюсь, нужно какое-то универсальное.
AB
а чем обычный l2tp ipsec не устраивает?
AB
на одной стороне пир dynamic, на другой src addr внутренний адрес ната.
AB
чтобы наверняка обезопасить - сделайте дроп всего ipsec:in кроме внешника второго компа.
AB
чем хороша схема
AB
1) есть stateful интерфейс, в данном случае l2tp
AB
2) вы его можете маршрутизировать, как вашей душе угодно. достаточно заденаить rfc1918 на ван с обеих концов чтобы убедиться, что в интернет не утечет ни байта в случае падения чего-нибудь
AB
3) сам тоннель обезопасить от падения шифрования тоже проще простого - открываете udp/1701 на инпут на сервере только для ipsec policy in:ipsec
AB
следующим правилом денаите udp/1701. и всё, прилетать будут только шифрованные соединения на л2тп.
AB
ну и самое главное - это типовая схема, используемая тысячу миллионов раз для всяческих s2s, простая и надежная как швейцарские часы.
MG
Форвард - дропать адреса с назначением rfc1918 на out WAN
AB
а там есть нюансик, что падение ипсек не очищает коннтрекер :)
MG
А падение гре?
AB
падение интерфейса очищает, да.
AB
но только для соединений, которые бегают через этот интерфейс
AB
всем остальным пофигу.
AB
короч для гре требование - реальники с двух сторон. точка.
AB
и я понимаю, что можно обойти. но не понимаю, зачем)