Me revoilà après avoir mis de côté ce projet, avec du nouveau :
Après de plus amples recherches, je viens enfin de comprendre pourquoi ajouter des routes ne fonctionne pas : strongswan construit par défaut un policy-based tunnel et non un route-based.
Et je viens de voir qu'il existe un moyen de créer un tunnel route based en se servant des VTI Devices. Cependant j'ai pas bien compris ce qu'il faut renseigner dans la commande : ip tunnel add <name> local <local IP> remote <remote IP> mode vti key <number equaling the mark>
En particulier, dans local et remote. Ça correspond a un subnet quelconque pour le tunnel ? Ou c'est les ip publiques de chaque routeur ? Si c'est les ip publiques, ça se passe comment vu que je suis en ip dynamique ? J'imagine qu'on ne peut pas rentrer des FQDN, si ?
Après je peux toujours essayer de le configurer via les policy, mais j'avoue que c'est assez indigeste, j'ai pas compris grand chose
Attention je me trompe p-e, jamais fait d'ipsec sur openwrt.
J'utilise les vti sur nos UTM pour le taff, et le vti n’empêche pas d'utiliser la policy route, en faite c'est juste que la policy route permet d'atteindre l'interface VTI du routeur distant (une interface crée uniquement pour ça).
Exemple :
Routeur A Interface VTI 192.168.254.
249/30
Routeur B Interface VTI 192.168.254.
250/30
Et donc ton tunnel ipsec te permet juste le dialogue entre les VTI.
Mais du coup, grace à ça tu peux faire des routes statique pour atteindre un lan derrière :
Sur le routeur A :
Net : 192.168.2.0/24 GW 192.168.254.250
Sur le routeur B :
Net : 192.168.1.0/24 GW 192.168.254.249
Pourquoi c'est beaucoup plus puissant de faire ça plutot qu'envoyer les routes des lan directement dans la policy ipsec ?
- Tout simplement car du coup, tu peux creer autant d'interface VTI que de lien WAN sur ton routeur, tu montes autant de tunnel ipsec vti vers vti que tu as de WAN, et donc tu peux avoir des routes statiques avec des metriques différentes pour atteindre les lan, afin d'avoir de la redondance sur ton vpn ipsec si le lien wan principal tombe par exemple
.
En espérant que ce soit pareil sur openwrt, et que ça t'aide à la compréhension.
A+