Saturday August 02 2014 19:44, Alexey Vissarionov wrote to Andrew Kant:
AK>> Подскажите, как настроить ipsec на линуксе (например, opensuse 12), AK>> чтоб создался отдельный интерфейс для туннеля? Чтоб на него можно AK>> было пустить tcpdump, например. AK>> Основная цель - сделать два таких интерфейса через разных AK>> провайдеров и в quagga добавить, чтоб обеспечить некий resilience. AK>> Через vtun это делается довольно просто, но с другой стороны AK>> тунелей ставят железку, которая умеет только ipsec.
AV> Могу предположить, что железяка умеет IPsec over GRE. Соответственно, AV> тебе понадобится что-то из серии ip tunnel add gre1 mode gre ... (для AV> каждого провайдера).
ipsec over gre или gre over ipsec ? Как говорится, "мы живем в стране дураков, вот только непонятно, мы среди них или они среди нас" :)
AV> В общем случае рекомендую вообще не использовать IPsec (там очень AV> грустно с криптоалгоритмами: 3des и md5 до сих пор считаются нормой), а AV> поднять два тоннеля, настроить OSPF, и уже внутри воспользоваться AV> каким-нибудь OpenVPN.
Вот именно так и было, но в связи с внедрением железяки нужно рушить готовую схему и переходить на "отраслевой стандарт".