https://www.opennet.ru/openforum/vsluhforumID1/96087.html Здравствуйте. Прошу помочь разобраться в вопросе.<br><br>Провожу настройку ipsec туннеля (site-to-site) между Linux (Debian) и маршрутизатором Zywall zyxel.<br>На линуксе использую strongswan и после конфигурации и запуска приложения туннель поднимается.<br># ipsec status показывает:<br>Security Associations:<br> Zyxel[1]: ESTABLISHED 18 seconds ago, 1.1.1.1[1.1.1.1]...2.2.2.2[2.2.2.2]<br> Zyxel{1}: INSTALLED, TUNNEL, ESP SPIs: cfb6ec7f_i 46c6dd36_o<br> Zyxel{1}: 192.168.11.0/24 === 192.168.12.0/24<br><br>В моём понимании должен быть сетевой интерфейс типа tunN, как на примере openvpn, но его нет. ipsec так и должен работать? Или что-то ещё настраивается?<br>В netstat -rn маршрута на удалённую подсеть 192.168.12.0/24 тоже не наблюдаю и, естественно, ничего не пингуется.<br><br>Также беспокоит продолжительность такого соединения, оно "живёт" минут 20.<br>Изначально был испробован openswan. Сбоев в соединении не наблюдал, но также не наблюдал созданных туннелей в ifconfig. От openswan отказался поскольку не разобрался как настроить https://www.opennet.ru/openforum/vsluhforumID1/96087.html#2 Mon, 20 Apr 2015 10:20:05 GMT &gt;[оверквотинг удален]<br>&gt; В моём понимании должен быть сетевой интерфейс типа tunN, как на примере <br>&gt; openvpn, но его нет. ipsec так и должен работать? Или что-то <br>&gt; ещё настраивается?<br>&gt; В netstat -rn маршрута на удалённую подсеть 192.168.12.0/24 тоже не наблюдаю и, <br>&gt; естественно, ничего не пингуется.<br>&gt; Также беспокоит продолжительность такого соединения, оно "живёт" минут 20.<br>&gt; Изначально был испробован openswan. Сбоев в соединении не наблюдал, но также не <br>&gt; наблюдал созданных туннелей в ifconfig. От openswan отказался поскольку не разобрался <br>&gt; как настроить соединение по протоколу IKEv2, видимо он не поддерживает.<br>&gt; Спасибо!<br><br>Ну вроде как уже в 2.6 выпилили возможность делать интерфейсы ipsec при поднятии туннеля. <br>Вообще, видимо Вы не до конца поняли сам ipsec и его работу. Он никак не влияет на таблицу маршрутизации и тп, он просто прописывает правила шифрования. Так что если туннель поднялся, то просто пробуем пинговать удаленную сеть. Для фильтрации трафика можно курить iptables на предме https://www.opennet.ru/openforum/vsluhforumID1/96087.html#1 Mon, 13 Apr 2015 02:16:40 GMT &gt;[оверквотинг удален]<br>&gt; В моём понимании должен быть сетевой интерфейс типа tunN, как на примере <br>&gt; openvpn, но его нет. ipsec так и должен работать? Или что-то <br>&gt; ещё настраивается?<br>&gt; В netstat -rn маршрута на удалённую подсеть 192.168.12.0/24 тоже не наблюдаю и, <br>&gt; естественно, ничего не пингуется.<br>&gt; Также беспокоит продолжительность такого соединения, оно "живёт" минут 20.<br>&gt; Изначально был испробован openswan. Сбоев в соединении не наблюдал, но также не <br>&gt; наблюдал созданных туннелей в ifconfig. От openswan отказался поскольку не разобрался <br>&gt; как настроить соединение по протоколу IKEv2, видимо он не поддерживает.<br>&gt; Спасибо!<br><br>по интерфейсам: *swan работают с интерфейсами типа ipsec0, но чтобы они появились нужно доставить модуль. в debian strongswan собирается с этим модулем без проблем. без этого модуля *swan работает через netkey<br>