Netplan và Ipsec - yêu cầu netplan để yên giao diện?

Tôi đang cố gắng sử dụng Strongswan để tạo đường hầm Ipsec trên máy chủ bằng Netplan. Netplan hiện không có cấu hình cho đường hầm1 và đường hầm2 giao diện mà Ipsec hiển thị khi đường hầm được tạo. Điều này có vẻ (gần như) đúng với tôi.

Các dịch vụ ipsec chạy một tập lệnh tạo ra đường hầm[1,2] giao diện (chúng có thể có thể được gọi là vti[1,2] nếu cần). Nếu một đường hầm bị lỗi, ipsec sẽ "gỡ xuống" giao diện được liên kết với nó (sử dụng tập lệnh này). Tập lệnh này cũng đặt tuyến đường cho mạng phía bên kia của VPN. Tuyến đường này chỉ tồn tại cho đến khi Netplan chạy, sau đó nó sẽ bị xóa. Các đường hầm giao diện trông như thế này:

25: tunnel2@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1419 qdisc trạng thái noqueue nhóm UNKNOWN mặc định qlen 1000
    liên kết/ipip 1.2.3.4 ngang hàng 2.3.4.5
    inet 169.254.9.238 ngang hàng 169.254.9.237/30 phạm vi đường hầm toàn cầu2
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
    liên kết phạm vi inet6 fe80::200:5efe:c6f4:8f78/64
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
26: tunnel1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1419 qdisc trạng thái noqueue nhóm UNKNOWN mặc định qlen 1000
    liên kết/ipip 1.2.3.4 ngang hàng 3.4.5.6
    inet 169.254.199.162 ngang hàng 169.254.199.161/30 phạm vi đường hầm toàn cầu1
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
    liên kết phạm vi inet6 fe80::200:5efe:c6f4:8f78/64
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi

Lộ trình tôi muốn thêm qua netplan có thể được thêm thủ công như sau:

tuyến ip thêm 10.1.0.0/16 liên kết phạm vi dev tunnel1 src 10.0.16.170/24 số liệu 100

Có cách nào để nói với netplan bất kỳ điều nào trong số này không:

• để rời khỏi các tuyến đường cho các giao diện/điểm đến cụ thể?
• Để yêu cầu netplan bỏ qua bất cứ điều gì liên quan đến đường hầm[1,2] giao diện?
• để yêu cầu netplan tạo các tuyến cho các giao diện không tồn tại và không nằm trong tầm kiểm soát của nó?

...hoặc bất kỳ cách nào khác để làm cho Netplan hoạt động tốt với ipsec. Tôi không muốn phải đi theo con đường "nặng nề" là vô hiệu hóa kế hoạch mạng chỉ để làm cho VPN ipsec của tôi hoạt động.

Cách đúng đắn để làm cho tất cả những thứ này gắn kết với nhau là gì?

Vấn đề là do systemd-networkd. Nó sẽ xóa các tuyến đường mà nó không biết vào một ngày nào đó sau này. Trước đây tôi đã trả lời rằng việc làm cho các thiết bị trở nên "không được quản lý" sẽ giải quyết được vấn đề, nhưng thật đáng buồn là điều đó không xảy ra:

[Trận đấu]
Tên=đường hầm1

[Liên kết]
Không được quản lý = có

Giải pháp này dường như ngăn systemd-networkd tạo bất kỳ cấu hình nào cho thiết bị không được quản lý, nhưng không ngăn nó xóa tất cả cấu hình đó khi nó dừng tất cả các thiết bị mạng (điều này thực hiện trong quá trình khởi động lại).

Định cấu hình đầy đủ các thiết bị và tuyến đường trong mạng (hoặc netplan) không hoạt động do vấn đề đặt hàng cấu hình.

Cho đến nay, giải pháp khả thi duy nhất tôi tìm thấy là vô hiệu hóa hoàn toàn và dừng systemd-networkd (và gỡ cài đặt Netplan vì nó không còn cần thiết nữa). Đây có vẻ là một giải pháp khá quyết liệt và không có nghĩa là một số chức năng bị mất. Trong trường hợp của tôi, tôi không nghĩ đó là vấn đề, nhưng có thể đối với một số người.

Bạn không cần yêu cầu netplan bỏ qua một giao diện. Nó chỉ thay đổi cấu hình của các giao diện mà nó được yêu cầu. Nhưng có vẻ như điều bạn muốn ở đây là sử dụng netplan để thêm tuyến vào giao diện mà netplan không quản lý và điều đó không được hỗ trợ.

Đối với một điều, nếu tại bất kỳ thời điểm nào, đường hầm của bạn bị tụt xuống, netplan sẽ không thể thiết lập lại tuyến đường.

Bất cứ điều gì bạn đang sử dụng để quản lý các đường hầm IPsec cũng phải hỗ trợ thêm các tuyến đường. Thực sự không cần phải quản lý chúng một cách riêng biệt và như đã đề cập ở trên, làm như vậy sẽ ngăn hệ thống xử lý đúng các sự kiện khởi động lại đường hầm