Сейчас у меня настроен EoIP между двумя локациями, одна из которых имеет динамический IP (и шансов получить статический — ровно 0%). Конфигурация EoIP на стороне со статическим IP такая:
/interface eoip add
allow-fast-path=no
arp=proxy-arp
ipsec-secret=[SHARED_KEY]
keepalive=2s,2
local-address=[STATIC_WAN_IP]
mac-address=00:00:5E:80:20:05
name=eoip-remote-location
remote-address=remote.location.domain.com
tunnel-id=2
На другой стороне, где IP динамический, конфигурация выглядит так:
/interface eoip add
allow-fast-path=no
arp=proxy-arp
ipsec-secret=[SHARED_KEY]
keepalive=2s,2
local-address=[DYNAMIC_WAN_IP]
mac-address=00:00:5E:80:20:06
name=eoip-home-location
remote-address=home.location.domain.com
tunnel-id=2
Есть две проблемы: локальный адрес не может быть доменом — можно вписать, но он будет разрешён только один раз. Для удалённого адреса же это почему-то работает нормально (wtf?).
Более серьёзная проблема возникает, когда WAN IP меняется, и нужно обновить конфигурацию на удалённой стороне. Если изменить адрес, он меняется только в интерфейсе, а вся IPSec-конфигурация, как например политики, остаётся с прежним IP. Поскольку элементы IPSec создаются динамически, их нельзя изменить. Это на практике делает невозможным поменять IP или, например, использовать скрипт для этого.
Хуже всего то, что единственный способ изменить IP — полностью удалить интерфейс и добавить заново (что, разумеется, приводит к огромному беспорядку в других местах, например в настройках фаервола).
Все тесты я делал на версии 6.37.3, так как 6.38 пока не стабильна для продакшена.
Есть идеи или советы?
/interface eoip add
allow-fast-path=no
arp=proxy-arp
ipsec-secret=[SHARED_KEY]
keepalive=2s,2
local-address=[STATIC_WAN_IP]
mac-address=00:00:5E:80:20:05
name=eoip-remote-location
remote-address=remote.location.domain.com
tunnel-id=2
На другой стороне, где IP динамический, конфигурация выглядит так:
/interface eoip add
allow-fast-path=no
arp=proxy-arp
ipsec-secret=[SHARED_KEY]
keepalive=2s,2
local-address=[DYNAMIC_WAN_IP]
mac-address=00:00:5E:80:20:06
name=eoip-home-location
remote-address=home.location.domain.com
tunnel-id=2
Есть две проблемы: локальный адрес не может быть доменом — можно вписать, но он будет разрешён только один раз. Для удалённого адреса же это почему-то работает нормально (wtf?).
Более серьёзная проблема возникает, когда WAN IP меняется, и нужно обновить конфигурацию на удалённой стороне. Если изменить адрес, он меняется только в интерфейсе, а вся IPSec-конфигурация, как например политики, остаётся с прежним IP. Поскольку элементы IPSec создаются динамически, их нельзя изменить. Это на практике делает невозможным поменять IP или, например, использовать скрипт для этого.
Хуже всего то, что единственный способ изменить IP — полностью удалить интерфейс и добавить заново (что, разумеется, приводит к огромному беспорядку в других местах, например в настройках фаервола).
Все тесты я делал на версии 6.37.3, так как 6.38 пока не стабильна для продакшена.
Есть идеи или советы?
