добрый день.

поднимаю сабж.
сам по себе ipsec - работает  (у меня он полиси-бейсед). Linux <-> linux, linux <-> android, linux <-> ios, все без проблем соединяется и работает. проблема в винде. точнее в ее неповторимой манере делать dhcp-запрос в тунель для получения маршрутов.

для этого я тестовых целях поднимаю dnsmasq.  

https://wiki.strongswan.org/projects/strongswan/wiki/Windows...

config setup
   charondebug="dmn 1, mgr 1, ike 2, chd 1, job 1, cfg 1, knl 1, net 1, asn 1, enc 1, lib 1, esp 1, tls 1, tnc 1, imc 1, imv 1, pts 1"
   uniqueids=never

conn vpn-default
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    ike=aes256-sha1-modp1024
    esp=aes256-sha1
    fragmentation=yes
    forceencaps=yes
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftid=@vpntest.<censored>.org
    leftauth=pubkey
    leftcert=certificate.pem
    leftsendcert=always
    leftsubnet=192.168.0.0/22,192.168.12.0/22,88.150.215.38/32
    leftfirewall=yes
    right=%any
    rightid=%any
    rightauth=eap-radius
    rightsourceip=10.10.0.2/22
    rightdns=192.168.0.2,192.168.12.2,192.168.21.2
    rightsendcert=never
    eap_identity=%identity

dnsmasq.conf:
log-queries
dhcp-vendorclass=set:msipsec,MSFT 5.0
dhcp-range=10.10.0.10,10.10.3.254
dhcp-option=6
dhcp-option=249,192.168.12.0/255.255.252.0,192.168.0.0/255.255.252.0

по tcpdump вижу, что винда шлет dhcp запросы, но до dnsmasq они не доходят и естественно, на них никто не отвечает.

собственно вопрос в том, как это правильно поднять.

я пробовал сделать бридж без мемберов, с ip 10.10.0.1, и вешать dnsmasq на него, но все равно
не срабатывает.  
было бы совсем хорошо, если бы существовал какой-то финт, заставляющий винду работать с ipsec также, как с ним работают все  остальные системы.

спасибо.