About Teletype
Join
DronMBi
@dronmbi
March 17, 2022

Чудесный мир IPsec

Настала пора хоть что-нибудь сюда запостить. Чебурнет всё ближе, роскомпозор всё отключил, жить становится невыносимо. Что делать? Делать, конечно же, туннель. Но куда его копать? В сторону свободного запада, который сам постоянно всё нам отключает?

Пока правило простое: туннель можно копать куда угодно, главное, чтобы в нём был IPv6, потому что роскомпозор его пока не осилил. Это не панацея, конечно, но все сервисы гугла (включая ютуб), фейсбука (включая инстаграм) и многих других "неблагонадёжных" компаний через него доступны.

На просторах родины IPv6 просто так почти нигде не дают, но макконе IPv6 есть у меня дома! Очевидно, мне просто нужен туннель домой, и вместе с открывающимися сайтами это принесёт ещё кучу всяких полезных функций, как, например, доступность домашнего хранилища. Но тут встаёт вопрос: а как же сделать так туннель, чтобы он работал прям везде: и на телефонах (яблоко и андройд), и на планшетах, и на ноутах (макось и убунта)? Помимо всяких стрёмных, а зачастую ещё и платных, решений, требующих установки левого софта, есть прекрасный и надёжный IPsec, поддержка которого встроена во все современные операционки. Работает оно прям везде "из коробки", включая даже винду (хотя там надо чутка реестр поковырять, куда ж без этого). Поверх туннеля IPsec прекрасно бегают и IPv4, и IPv6, причём в силу его организации происходит практически полная и незаметная телепортация клиента в домашнюю локалку безо всяких диких морок с роутингом и файерволом.

Единственная засада, об которую я бился головой дня четыре, это хитрая FreeBSD, которая по умолчанию напрочь отключает IPv6 (ставит флаг ifdisabled) для интерфейсов, на которых он не настроен. Например, для внешнего, смотрящего в сторону провайдера, на который как раз и приходит туннель. Это приводит к тому, что перестаёт работать инкапсуляция IPv6 в IPsec, то есть туннель работает, IPv4 в нём работает, адрес IPv6 клиенту выдаётся, даже трафик в туннеле видно, а сервак втихую дропает весь пейлоад IPv6, при этом молча как партизан. Это, конечно, недоработочка. Хоть бы где об этом написали!

Короче, IPsec показала себя как технология рабочая и не сильно заморочная. Жить снова можно!

DronMBi
March 17, 2022, 08:57
0 views
0 reactions
0 replies
0 reposts