<div dir="ltr"><div>Hi Brian,</div><div><br></div><div>When I did something like that, I didn't even dig such deep to wed ipsec tunnel policies with routing. IMHO it might work, but could hit you in unexpected way. The option with vti looks more straightforward to me - those guys live sepearately and do not harm each other. I.e. ipsec does its job with securing the tunnel, and routing is done over the usual interface with no hidden pitfalls.</div><div><br></div><div>Regards,</div><div>Alexander<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Nov 20, 2024 at 6:48 AM Brian C. Hill via Bird-users <<a href="mailto:bird-users@network.cz">bird-users@network.cz</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><u></u>

  

    
  
  <div>
    Hello,<br>
    <br>
    I want to use bird to mutually propagate routes throughout several
    sites connected with vpn gateways, probably with ospf.<br>
    <br>
        e.g. site A net(s) <-> site A vpn gateway <-> vpn
    'concentrator' <-> site B vpn gateway <-> hosts site B
    net(s), etc..<br>
    <br>
    I couldn't find many posts about the best strategy to use, and the
    ones did find are many years old, but it seems to boil down to these
    options:<br>
    <br>
    <blockquote>• use a script to migrate xfrm route table (220) to a
      bird-readable table<br>
      <br>
      • use static routes inside bird<br>
      <br>
      • use vti instead of xfrm<br>
      <br>
    </blockquote>
    My questions:<br>
    <br>
    1) Is it sill the case that bird cannot read directly from the xfrm
    table? (I tried this with a pipe config but nothing gets imported)<br>
    <br>
    2) What is the strategy that most of you are using now? (as opposed
    to many years ago)<br>
    <br>
    Thanks!<br>
    <br>
    Brian<br>
    <br>
    <br>
  </div>

</blockquote></div>