>>Э... Я думаю можно. Только выглядить это должно несколько монстрообразно:
>>ipsec tunnel host-to-host
>>в него засунуть GRE
>>внутри GRE уже будет работать link-state протокол (OSPF).
>>Вск в целом должно обеспечивать быстрое переключение при падении одного из каналов.
>
>Вобщем реализовал я все задуманное. Удалил Openswan (пробовал юзать racoon но что-то
>он мне тоже не понравился) сделал ipsec соединения host-to-host с помошью
>ipsec-tools (конкретно setkey).э... а разве ipsec-tools и racoon не есть одно и тоже (в смысле пакеджа)? ;-)
racoon это же isakmp daemon из ipsec-tools (или я уже совсем плохой стал? - надо сходить посмотреть....)
>На шлюзах появились интерфейсы типа gre+ по интерфейсу на тоннель. И
>все сразу стало красиво и понятно.
>Было бы все просто отлично если бы не один неприятный момент. Некоторые
>туннели, если их не использовать (не гонять по ним трафик), отваливаются
>или зависают
ну дык DPD (это будет что-то типа keep-alive) + поднятие туннеля если он на самом деле свалился
>эти туннели достаточно зайти на удаленный шлюз с внешней дырки и
>послать пинг на главный шлюз (по канальным ипам) и сразу наступает
>счастье.
imho overkill
>Есть какие либо соображения по этому поводу?
А как же... Их есть несколько: DPD - это раз, LSA (это от OSPF) - это два. Любой из них будет поддерживать тоннель
>P.S. читаю маны по OSPF (пакет quagga) не совсем понимаю что к
>чему. Есть ссылки на примеры внедрения?
На сайте квагги вроде есть примеры... если нужна конкретика - т.е. конкретные сети, адреса, топология - то в приват fish at infonet.nnov.ru (смогу ответить только после четверга).