IPSEC ( libreswan, centos 6.8 ) site-to-site сменить default gw ?

как это делается правильно в libreswan

Никак, раздачей маршрутов занимается dhcp.

Никогда его не видел. Но вот вам на их сайте примеры конфигов https://libreswan.org/wiki/Configuration_examples
Выбирайте по вкусу.

И вообще в OpenVpn можно было напихать команд для маршуртов чтобы они поднимались на той стороне при поднятии VPN как это делается правильно в libreswan не понятно

Предположение. В strongswan это прописывается в параметре left[right]subnet. Причем достаточно «кучеряво», можно даже отдельные порты заворачивать. Может и здесь также?

Я эту и подобные доки раз по 10 прочел. В параметр leftsubnet можно воткнуть только 1 сеть, правда есть еще параметр leftsubnets вот там можно указать несколько подсетей ( сколько подсетей столько и будет тонелей ). Причем что интересно если сетка не указано в то она не лезет в туннель.

Но мне то нужно указать чтобы инет туда лез, по сути это будет 0.0.0.0/0 и есть такой даже пример https://libreswan.org/wiki/Subnet_extrusion Но вот с этим местом что то туго как поднимается ipsec то связь с сервером сразу теряется и приходится его перезапускать ;(

Вот еще тоже самое написано но толку 0 :( https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html...

Все примеры какие то ваккумные и реальные нигде нарыть не могу :(

Спасибо за ответ.

На уровне предположения, может вам из раздела VPN server for VPN client configurations нужны примеры?
Или тамже есть еще такая штука https://libreswan.org/wiki/Route-based_VPN_using_VTI

Да вот что ни как не получается ... ( сейчас читаю всякую доку по теории ;( ) А то как то рекомендуют для предприятий как раз ipsec а он что то не пашет для больших сетей :(

Что касается vti я это тоже читал, но оставил напоследок, так как с ipsec получается красивее можно избавится от доп. интерфейса. А то в openvpn там tun0 вносил еще кучу всего :(

Спасибо.

P.S. Сервер - клиент там все много проще. Натиться все и не нужно чтобы клиенты с разных сетей лазали в разных направлениях через тунель.

Но мне то нужно указать чтобы инет туда лез, по сути это будет 0.0.0.0/0 и есть такой даже пример https://libreswan.org/wiki/Subnet_extrusion Но вот с этим местом что то туго как поднимается ipsec то связь с сервером сразу теряется и приходится его перезапускать ;(

Если вы к нему подсоединяетесь удаленно, то логично - defroute поменялся. Если я правильно понял схему, что при ovpn также " 2 локальные сети офис 1" заворачивались с defroute то в нем вы как решали вопрос? iproute2 ?

вот серверный конфиг для одного из офисов : cat:

iroute 192.168.129.0 255.255.255.0

iroute 192.168.128.0 255.255.255.0

push «route 192.168.192.0 255.255.255.0»

push «route 192.168.9.0 255.255.255.0»

push «route 192.168.11.0 255.255.255.0»

push «route 192.168.12.0 255.255.255.0»

push «route 192.168.13.0 255.255.255.0»

push «route 192.168.14.0 255.255.255.0»

push «redirect-gateway def1»

Если вы к нему подсоединяетесь удаленно, то логично - defroute поменялся.

Нет. 1. Я лезу с другой стороны. 2. И судя по всему что с той стороны обе сети встают раком то происходит как раз замыкание сети через VPN и якобы настройка type=passthrough должна не пускать LAN сеть в туннель ( он же 0.0.0.0/0 ) но это место что то не пашет :(

Да вот что ни как не получается ... ( сейчас читаю всякую доку по теории ;( ) А то как то рекомендуют для предприятий как раз ipsec а он что то не пашет для больших сетей :(

ipsec как раз пашет, но его сложно готовить, есть такая проблема. Его плюс это скорость, т.к. работает на уровне ядра.
Лучше бы вы привели больше подробностей как у вас это работало на ovpn, тогда можно подумать как это все на ваш вариант переделать.

Теперь яснее стало.
1. Вот эти «push «route 192.168.9.0 255.255.255.0»» не нужны, так как есть push «redirect-gateway def1» Но это лирика.
2. Из того что наискосок прочитал про libreswan вам похоже действительно нужно использовать left[right]subnets т.е. сети 192.168.128.0/24 192.168.129.0/24 с одной стороны, а 0/0 с другой.
Но все это на уровне теории, на практике не пробовал.

1. Согласен, тот конфиг годами дополнялся, потом понадобилось чтобы 1 чел с офиса лазил напрямую в инет через головной вот и добавился этот дефаульт рут ...

2. Да я вот тоже к этому пришел, но тогда ЛАН на него замыкается :(

и якобы настройка type=passthrough должна не пускать LAN сеть в туннель ( он же 0.0.0.0/0 ) но это место что то не пашет

Тут чего-то мягкое с зеленым попутано. Запутали вы меня. :( Поясните плиз.

2. Да я вот тоже к этому пришел, но тогда ЛАН на него замыкается :(

Выше написал, поясните этот момент с примерами. Не совсем понятно в чем проблема.

Ну якобы ремоте это 0.0.0.0/0 и это типа все. Локальные сети тоже в этот диапазон влазят и полезут в тунель а не должны. И специально для этого делают заглушку : https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html...

там в самом низу раздел : conn passthrough

left=1.2.3.4

right=0.0.0.0

leftsubnet=10.0.1.0/24

rightsubnet=10.0.1.0/24

authby=never

type=passthrough

auto=route

И вот это и не пашет ... и по логам не разберусь что то :(

Кстати этот ipsec хз как пашет, если в конфиге не указана ремоте сеть то можно раутинг хоть какой сделать фиг там пакеты полезут в туннель ;(

Хм. Интересно.

Кстати этот ipsec хз как пашет, если в конфиге не указана ремоте сеть то можно раутинг хоть какой сделать фиг там пакеты полезут в туннель ;(

Тут как раз все просто, ip xfrm, в первую очередь ip xfrm policy

Могу ошибаться, но по-моему нужно смотреть с сторону параметра virtual-private.

Я х.з. точно но по моему определение : virtual-private всего лишь макрос %priv и сделан для удобства чтобы использовать конструкции типа : rightsubnet=vhost:%priv