Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

DevConf.CZ 2026 / Program a registrace

dnes 03:44 | Komunita

Open source konference DevConf.CZ 2026 proběhne 18. a 19. června v Brně na FIT VUT. Publikován byl program a spuštěna byla registrace.

Ladislav Hagara | Komentářů: 0

Velký jazykový model Mellum2

včera 19:44 | Nová verze

Společnost JetBrains uvolnila verzi 2 svého open-source velkého jazykového modelu (LLM) pro vývojáře Mellum.

Ladislav Hagara | Komentářů: 0

Microsoft Build 2026

včera 14:44 | IT novinky

Probíhá konference Microsoft Build 2026. Microsoft představuje své novinky: kvantový čip Majorana 2, Surface Laptop Ultra a Surface RTX Spark Dev Box s NVIDIA RTX Spark, Intelligent Terminal, Coreutils for Windows (fork Rust Coreutils), AI modely MAI, AI agenta Scout, platformu pro agent-first zařízení Project Solara, …

Ladislav Hagara | Komentářů: 0

Google Chrome 149

včera 12:44 | Nová verze

Google Chrome 149 byl prohlášen za stabilní. Nejnovější stabilní verze 149.0.7827.53 přináší řadu novinek. Podrobný přehled v poznámkách k vydání. Vylepšeny byly také nástroje pro vývojáře.

Ladislav Hagara | Komentářů: 0

Pluto.jl 1.0

včera 10:55 | Nová verze

Pluto.jl, reaktivní notebook pro programovací jazyk Julia, dospěl do verze 1.0.

Ladislav Hagara | Komentářů: 3

Snap! 12.0.0

2.6. 13:44 | Nová verze

Byla vydána nová verze 12.0.0 vizuálního programovacího jazyka Snap! (Wikipedie) inspirovaného jazykem Scratch (Wikipedie). Přehled novinek na GitHubu.

Ladislav Hagara | Komentářů: 0

Hra Gravity Circuit na Steamu zdarma

2.6. 11:44 | IT novinky

Počítačovou hru Gravity Circuit (ProtonDB) lze do 14. června do 19:00 získat na Steamu zdarma. Napořád.

Ladislav Hagara | Komentářů: 0

X.Org X server 21.1.23 a Xwayland 24.1.12 řeší 9 bezpečnostních chyb

2.6. 11:00 | Bezpečnostní upozornění

Nejnovější X.Org X server 21.1.23 a Xwayland 24.1.12 řeší 9 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 0

npm balíčky @redhat-cloud-services kompromitovány

1.6. 22:33 | Bezpečnostní upozornění

npm balíčky @redhat-cloud-services byly kompromitovány.

Ladislav Hagara | Komentářů: 5

CVE-2026-46243 aneb CIFSwitch, lokální eskalace práv v Linuxu

1.6. 22:22 | Bezpečnostní upozornění

Byly publikovány informace o zranitelnosti CVE-2026-46243 pojmenované CIFSwitch v Linuxu od roku 2007. Běžný uživatel může získat práva roota (lokální eskalaci práv). V upstreamu je již opraveno.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 30, poslední 3.4. 20:20

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / IPsec - polofunkcny split-tunneling

Štítky: Android, Apple, BSD, config, FreeBSD, Internet, IPsec, mikrotik, problém, server, strongSwan, Su, Windows

Dotaz: IPsec - polofunkcny split-tunneling

2.10.2023 16:13 GeorgeWH | skóre: 42
IPsec - polofunkcny split-tunneling

Přečteno: 503×

Odpovědět | Admin

Zdravim.

Mam IPsec IKEv2 road warriors server na Mikrotiku s roznymi klientmi (Linux, FreeBSD, Apple, Windows, Mikrotik, Android). Cez modeconfig im posielam konkretne subnety, ktore chcem pretlacat cez VPN-ku, napr.:

[admin@ipsec-gw] > ip ipsec mode-config print
...
 1  R name="client1" system-dns=no static-dns="" address=172.10.0.17 address-prefix-length=32 
      split-include=192.168.1.0/24,192.168.16.0/20,172.20.3.0/24 split-dns=""

Problem je, ze jedine systemy, kde to funguje OOTB, su Mikrotik a Windows (nativna IPsec VPN). Ostatni klienti (Linux network-mananger so strongswan pluginom, strongswan ^[1] (stary config ipsec.conf, aj novy swanctl.conf), Apple, Android ^[2]...) pouziju vzdy len prvy definovany rozsah a ostatne ignoruju.

[1] Tu sa mi podarilo dosiahnut pozadovany stav definovanim samostatnej conn, resp. children, pre kazdy subnet.

[2] V Android-e (strongswan app) sa daju rucne zadat split-tunneling rozsahy, takze tu to ako tak funguje.

Lokalne siete viem pretlacit cez jeden vacsi subnet, ale potrebujem pridat este dalsie uplne ine rozsahy.

Na nete som nasiel viac takychto pripadov, ale ziadne riesenie.

Vdaka.

Nástroje: Začni sledovat (1) ?

Odpovědi

2.10.2023 19:49 X
Rozbalit Rozbalit vše Re: IPsec - polofunkcny split-tunneling

V dokimentaci se primo pise o tomto omezeni, ale zaroven uvadi ze:

split-include (list of IP prefix; Default: ) List of subnets in CIDR format, which to tunnel. Subnets will be sent to the peer using CISCO UNITY extension, remote peer will create specific dynamic policies.

Ten plugin existuje a je zminovany i v napovede, ale pouze pro IKEv1.

3.10.2023 17:14 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: IPsec - polofunkcny split-tunneling

Ano viem, ale je to pre IKEv1, takze mi to je na nic :/

3.10.2023 17:45 X
Rozbalit Rozbalit vše Re: IPsec - polofunkcny split-tunneling

Doporucoval bych prejit na ROS7 + Wireguard kde tento problem odpada..

3.10.2023 19:59 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: IPsec - polofunkcny split-tunneling

Používám jako server Strongswan a pro Windows a iOS mám konfigurační profil. Na Androidu se Strongswan klientem mi to funguje a tam tedy nic neřeším.
Vzhledem k tomu, že mám specifický subnet, tak mi to moc nevadí a dál jsem to neřešil.
Dle dokumentace, co jsem se obecně díval do Strongswanu, je nejlepší pro pushování rout L2TP over IPSEC, což je obsolete a na nic.
Takže tak, prostě IKEv2 není vzhledem k routování funkční jako třeba OpenVPN.
Buď to tedy řeš konfiguračními profily pro jednotlivé OS, nebo nedělej split a vše směruj do tunelu (=velký traffic na straně serveru a jeho konektivity), nebo použij jiné řešení.
Každopádně to, že používáš "192.168.1.0/24", je docela problém.
Zdar Max

Měl jsem sen ... :(

Založit nové vlákno • Nahoru

Tiskni Sdílej: