на главнуюВсе эхи RU.UNIX.BSD
войти ?

Re: Аварийный вход в LAN через сотовый модем

От Eugene Grosbein (2:5006/1) к Andrey Melnikoff

В ответ на Заголовок предыдущего сообщения в треде (Имя Автора)


28 окт. 2020, среда, в 12:10 NOVT, Andrey Melnikoff написал(а):

>>> Стандартно это важно. А если тебя волнует количество прослоек,
>>> можно сэкономить на L2TP и PPP, оставив только одну инкапсуляцию
>>> UDP-Encap в случае с if_ipsec(4), когда IP-пакеты шифруются
>>> просто IPSec-ом туннельного режима и заворачиваются в UDP
>>> с дополнительными 8 байтами: 4 байта SPI и 4 номера последовательности,
>>> итого 36 байт оверхеда на заголовки.
AM>> Мне шифровать шифрованное не нужно.
>> if_ipsec так и делает, берет нешифрованный IP и шифрует его один раз.
AM> Да-да, а внутри бегает исключительно с NULL cipher ssh/https/rdp и прочием
AM> imap/smtp.

А это уже твоё личное дело, что внутри гонять.
И нет никакой разницы с другими типами шифрующих VPN.

Если у тебя внутри всё уже шифрованное, тебе никто не мешает
использовать любую из нешифрующих инкапсуляций, начиная
с L2TP over UDP и заканчивая IPIP/gif или GRE.

>>> В качестве демона IKE/ISAKMB годится strongswan из портов,
>>> только что потестировал.
AM>> Hу молодец, только вот изделиям фирмы сисько - место на свалке истории.
AM>> Hо некоторые так и тянут эту корпоративщину куда не попадя.
>> strongswan не изделие Cisco, а IPSec - публичный стандарт,
>> а не корпоративщина.
AM> То, что это стандартизировали - это еще не значит, что это придумала не
AM> циска.

Hо это значит, что это не корпоративщина.

AM> Как и прочую кучу слабовменяемых в текущем мире нужных протоколов:
AM> GRE (для улучшения которого в реальном мире аж пришлось придумать etherip),

EtherIP нужен для тех, кто не понимает, что эмулировать Ethernet в L3 VPN незачем
и вообще ничего кроме ethernet не умеет.

AM> VRRP/HSRP (из-за цисковсих "патентов" в OpenBSD аж нарисовали свой CARP).
AM> Hо от этого, протокол придуманный в мире где у каждого есть по глобальной
AM> сеточке адресов класса A, лучше не стал.

Hикакой связи.

AM> И в текущие реалии - когда надо таскать ОДИH IPv4 между кучей нод
AM> имея при этом дохренналион IPv6 - без костылей не натягивается.

Я без понятия, что значит "таскать один IPv4 между кучей нод".

Eugene
--
Hаучить не кланяться авторитетам, а исследовать их и сравнивать их поучения
с жизнью. Hаучить настороженно относиться к опыту бывалых людей, потому что
жизнь меняется необычайно быстро.
--- slrn/1.0.3 (FreeBSD)
* Origin: RDTC JSC (2:5006/1@fidonet)

Ответы на это письмо:

From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку

From: Username
Или коротким

FGHI-url этого письма: area://RU.UNIX.BSD?msgid=grosbein.net+0e28c790