В сообщении от [Чт 2017-02-16 21:53 +0300]
Alexander Pytlev <apytlev@tut.by> пишет:
> > Ошибка возникает, на этапе подключения:
> > # ipsec up rw
> Правильно ошибка возникает, потому что ты командуеш серверу поднимать
> соединение к клиенту rw
Да, вы правы ipsec up … команда клиента, а не сервера, перепутал. Но
теперь возникла другая проблема, точнее две.
===========================
IPv6
---------------------------
Я раздаю IPv6 адреса клиентам через туннель Hurricane Electric (HE), он
дает подсеть /64 бесплатно, у клиентов будут американские IP, а значит
будет доступ к Spotify, Pandora и прочим.
Всё работает, но только если сайт резолвится строго по IPv6, либо если
вручную указать типа wget -6. Если сайт резовится и по IPv4 и по IPv6,
то браузер предпочитает IPv4. Гугл говорит что это из-за того, что
линукс предпочитает сначала нативный IPv6, потом нативный IPv4 и только
потом туннели.
Всё это настраивается в /etc/gai.conf, мне нужно изменить приоритет, то
есть если сайт резолвится по IPv6, значит он должен ходить через
туннель, даже если по IPv4 ближе. У меня настроить gai.conf так и не
получилось.
===========================
IPv4
---------------------------
На сервере я настроил файрвол как указано на сайте [1]:
iptables -t nat -A POSTROUTING -s 10.0.3.0/24 -o eth0 -m policy --dir out --pol ipsec -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.0.3.0/24 -o eth0 -j MASQUERADE
Однако, некоторые сайты всё равно не открываются. После этого в пакете
остаются следы IPsec, какие-нибудь заголовки или данные? Может быть
из-за этого пакеты теряются, или это я что-то неправильно настраиваю?
[1]: https://wiki.strongswan.org/projects/strongswan/wiki/ForwardingAndSplitTunneling
--
Коротаев Руслан
https://blog.kr.pp.ru
Attachment:
smime.p7s
Description: S/MIME cryptographic signature