Аппаратное обеспечение, поддерживаемое OpenBSD
Я знаю, что это, вероятно, не то, что вы хотите услышать, но лучший способ справиться с IPsec и маршрутизацией - это полностью разделить их. IPsec по умолчанию в режиме политики (это так, как это делает Linux и похоже на то, что вы используете) имеет тенденцию «менять местами» уровни, делая маршрутизацию очень непонятной. Лучший способ сделать это - рассматривать IPsec как типичный логический сетевой канал: заставить IPsec работать с двухточечной связью, а слой GRE - поверх протоколов динамической маршрутизации, таких как OSPF и BGP (можно пропустить динамическую маршрутизацию, хотите, но рекомендуется).
В вашем случае, вместо прямого взаимодействия 172.16.0.0/16 с 10.0.0.8/8 , вы вместо этого заставляете стек IPsec создавать двухточечную ссылку на / 30 или даже / 31 . Например, вы можете использовать 10.254.254.1/30 для левого IP-адреса и 10.254.254.2/30 для правого IP-адреса. После этого создайте туннель GRE с внутренними IP-адресами 10.100.100.1/30 для локальной стороны и 10.100.100.2/30 для удаленной стороны (и используйте вышеупомянутый ] 10.254.254.0/30 IP для соответствующей внешней стороны). Бонус: если вы можете запустить IPsec в транспортном режиме, вы можете полностью отказаться от части 10.254.254.0/30 и использовать фактические IP-адреса конечных точек в качестве внешней части туннеля GRE.
Теперь у вас есть стандартный интерфейс Ethernet (туннель GRE), и вы можете очень легко выполнять статические маршруты: просто укажите 10.0.0.8/8 через 10.100.100.2 и 172.16.0.0/16 по адресу 10.100.100.1 . Еще лучше: полностью удалите эти статические маршруты и сделайте так, чтобы OSPF или BGP автоматически обрабатывали маршрутизацию для вас (см. Quagga для этого).
Преимущества: вы можете легко добавлять маршруты в любое время, вообще не изменяя конфигурацию базового стека IPsec, поскольку он полностью изолирован от маршрутизации. Вы можете запустить любую службу, которая ожидает стандартный интерфейс Ethernet, без каких-либо странностей (iptables - прекрасный пример этого). Вы можете легко создать несколько расходящихся и избыточных путей, используя BGP и несколько туннелей IPsec, и полностью избежать несколько византийских схем высокой доступности IPsec. Но лучшим преимуществом является то, что теперь вы поместили IPsec в очень изолированное место (защита трафика по ссылке), которое легко расширяется на верхние сетевые уровни без какой-либо дополнительной настройки.
IPsec - действительно гибкий протокол, и из-за этого многие вещи попадают в его водоворот. В определенный момент действительно лучше, чтобы IPsec придерживался того, что он делает лучше всего, и использовал концепции сетевого стека более высокого уровня, а не бросал на него кухонную раковину.
Из Часто задаваемых вопросов по OpenBSD:
OpenBSD has support for a number of wireless chipsets.
Это приведет вас к справочным страницам OpenBSD для всех беспроводных драйверов. Прочтите интересующие вас драйверы, чтобы найти поддерживаемое оборудование. Таким образом, большинство вещей, которые вам нужно знать, можно найти на справочных страницах.
Например, из справочной страницы iwm(4 ):
The iwm driver provides support for Intel Wireless 7260, 7265, 3160, 3165, 3168, 8260, and 8265 PCIe Mini Card network adapters.
Помните, что для работы некоторых аппаратных средств необходимо -установить бесплатную прошивку. Эта прошивка не включена в базовую установку и обычно устанавливается после первой загрузки с помощью утилиты fw _update(1 ).