6.40rc11 — теперь IPsec-пиры можно указывать с помощью DNS-имён, а как же быть с политиками?

Извиняюсь, если это глупая идея, но действительно ли нужны опции sa-src-address и sa-dst-address? Возможно, политики можно было бы просто привязывать к peer из «/ip ipsec peer»? Может, я что-то упускаю в продвинутом использовании, но во всех случаях, когда я пользовался, всегда задавал sa-src-address= и sa-dst-address=. Даже если это не сработает во всех сценариях, было бы здорово иметь такую опцию.

Всё это связано с тем, как IPsec работает «за кулисами». Для туннелей L2L сначала должны применяться политики, на основе которых находится подходящий SA. И только если подходящего SA нет, ищется конфигурация пиринга, после чего на основе найденной конфигурации запускается обмен ISAKMP или IKEv2. Использовать DNS-имена в политиках в таком сценарии — не вариант.

Однако в сценариях типа road-warrior клиент обычно первым инициирует соединение ISAKMP или IKEv2. Когда устанавливается фаза 1, одна из сторон инициирует обмен фазой 2, в этот момент обе стороны создают и устанавливают динамические политики. Вот где становится полезной возможность указывать адрес пира в виде FQDN, а не IP-адреса. В этом сценарии ожидается использование шаблонов политики, а не заранее определённых правил, поэтому возможность указывать sa-src-address и sa-dst-address в виде DNS-имён тоже не нужна.

И, конечно, второй способ настройки можно использовать и для L2L туннелей, если это необходимо.