В сообщении от [Чт 2017-02-16 21:53 +0300] Alexander Pytlev <apytlev@tut.by> пишет: > > Ошибка возникает, на этапе подключения: > > # ipsec up rw > Правильно ошибка возникает, потому что ты командуеш серверу поднимать > соединение к клиенту rw Да, вы правы ipsec up … команда клиента, а не сервера, перепутал. Но теперь возникла другая проблема, точнее две. =========================== IPv6 --------------------------- Я раздаю IPv6 адреса клиентам через туннель Hurricane Electric (HE), он дает подсеть /64 бесплатно, у клиентов будут американские IP, а значит будет доступ к Spotify, Pandora и прочим. Всё работает, но только если сайт резолвится строго по IPv6, либо если вручную указать типа wget -6. Если сайт резовится и по IPv4 и по IPv6, то браузер предпочитает IPv4. Гугл говорит что это из-за того, что линукс предпочитает сначала нативный IPv6, потом нативный IPv4 и только потом туннели. Всё это настраивается в /etc/gai.conf, мне нужно изменить приоритет, то есть если сайт резолвится по IPv6, значит он должен ходить через туннель, даже если по IPv4 ближе. У меня настроить gai.conf так и не получилось. =========================== IPv4 --------------------------- На сервере я настроил файрвол как указано на сайте [1]: iptables -t nat -A POSTROUTING -s 10.0.3.0/24 -o eth0 -m policy --dir out --pol ipsec -j ACCEPT iptables -t nat -A POSTROUTING -s 10.0.3.0/24 -o eth0 -j MASQUERADE Однако, некоторые сайты всё равно не открываются. После этого в пакете остаются следы IPsec, какие-нибудь заголовки или данные? Может быть из-за этого пакеты теряются, или это я что-то неправильно настраиваю? [1]: https://wiki.strongswan.org/projects/strongswan/wiki/ForwardingAndSplitTunneling -- Коротаев Руслан https://blog.kr.pp.ru
Attachment:
smime.p7s
Description: S/MIME cryptographic signature