добрый день.поднимаю сабж.
сам по себе ipsec - работает (у меня он полиси-бейсед). Linux <-> linux, linux <-> android, linux <-> ios, все без проблем соединяется и работает. проблема в винде. точнее в ее неповторимой манере делать dhcp-запрос в тунель для получения маршрутов.для этого я тестовых целях поднимаю dnsmasq.
https://wiki.strongswan.org/projects/strongswan/wiki/Windows...
config setup
charondebug="dmn 1, mgr 1, ike 2, chd 1, job 1, cfg 1, knl 1, net 1, asn 1, enc 1, lib 1, esp 1, tls 1, tnc 1, imc 1, imv 1, pts 1"
uniqueids=neverconn vpn-default
auto=add
compress=no
type=tunnel
keyexchange=ikev2
ike=aes256-sha1-modp1024
esp=aes256-sha1
fragmentation=yes
forceencaps=yes
dpdaction=clear
dpddelay=300s
rekey=no
left=%any
leftid=@vpntest.<censored>.org
leftauth=pubkey
leftcert=certificate.pem
leftsendcert=always
leftsubnet=192.168.0.0/22,192.168.12.0/22,88.150.215.38/32
leftfirewall=yes
right=%any
rightid=%any
rightauth=eap-radius
rightsourceip=10.10.0.2/22
rightdns=192.168.0.2,192.168.12.2,192.168.21.2
rightsendcert=never
eap_identity=%identity
dnsmasq.conf:
log-queries
dhcp-vendorclass=set:msipsec,MSFT 5.0
dhcp-range=10.10.0.10,10.10.3.254
dhcp-option=6
dhcp-option=249,192.168.12.0/255.255.252.0,192.168.0.0/255.255.252.0по tcpdump вижу, что винда шлет dhcp запросы, но до dnsmasq они не доходят и естественно, на них никто не отвечает.
собственно вопрос в том, как это правильно поднять.
я пробовал сделать бридж без мемберов, с ip 10.10.0.1, и вешать dnsmasq на него, но все равно
не срабатывает.
было бы совсем хорошо, если бы существовал какой-то финт, заставляющий винду работать с ipsec также, как с ним работают все остальные системы.спасибо.
ну во первых неправильно описана опция 249, не указан шлюз. и для совместимости 121 не помешала бы.
во вторых клиент точно попадает в dhcp-range=10.10.0.10,10.10.3.254?