Заметку делаю для себя, чтоб не забыть.
Итак, столкнулся с тем, что track отбивает маршрут, но сессия ipsec висит. Соответственно, пока её не прибить, трафик не ходит по новому маршруту с новым тунелем.
Проблему решил с помощью event manager. Настраивалось все на 2811.
Всем известно про замечательный протокол CDP (Cisco Discovery Protocol) для Cisco. Оказывается что и для Linux тоже есть возможность использовать его прелести. Есть проект LLDP, который нам в этом и поможет.
Для тех, кто в танке: на cisco можно посмотреть соседей с включенным CDP коммандой sh cdp nei. Комманда выведет оборудование которое подключено, на каком порту и т.д., более подробно sh cdp ent Device_ID, уже по конкретному девайсу.
Так вот, мы сейчас попробуем включить это и в Linux, в данном, конкретном случае, настраивать будем на CentOS 5.4, на Debian-подобных дистрах почти тож самое, за исключением процесса сборки и расположения файлов.
И так, все просто, даж очень, главное знать что есть такая скрытая команда service internal , по “?” не отображается.
Собственно, выкладываю куски конфигов:
В догонку к предыдущему посту про VPN-сервер на Linux, приведу пример на cisco. Приведу только куски конфигов необходимых для функционирования VPN
Понадобилось настроить Bridge на портах cisco-рутера? Все просто… недавно столкнулся… и сразу решил… и , чтобы не забыть, пишу сюда. Итак:
!
Записываю чтоб не забыть.
Итак, проброс порта:
ip nat inside source static tcp $local_address 22 $external_address 22 extendable
к примеру, пробрасываем tcp порт 22 с адреса 78.108.241.87 на внутренний адрес 192.168.0.17:
ip nat inside source static tcp 192.168.0.17 22 78.108.241.87 22 extendable
Проброс всего адреса совсем просто:
ip nat inside source static 192.168.0.17 78.108.241.87 extendable
Заметка будет практического характера. Рассчитано на тех, кто уже знаком с общей теорией работы ipsec и примерами построения туннелей. Итак, построение статического туннеля. Все пакеты подлежащие шифрованию будут инкапсулироваться в gre туннель и потом в ipsec .