#1
|
|||
|
|||
if_ipsec(4)
Eugene Grosbein написал(а) к All в Feb 20 18:51:17 по местному времени:
Привет! Довелось потестировать route-based IPSec tunnel mode под FreeBSD 11.3, это когда в системе создаётся полноценный интерфейс ipsec0 для IPSec туннельного режима. Работает: https://dadv.livejournal.com/209140.html Eugene -- Все любят естественный наркотик --- slrn/1.0.3 (FreeBSD) |
#2
|
|||
|
|||
if_ipsec(4)
Andrew Kant написал(а) к Eugene Grosbein в Feb 20 19:54:24 по местному времени:
Нello Eugene! Wednesday February 05 2020 18:51, Eugene Grosbein wrote to All: EG> Довелось потестировать route-based IPSec tunnel mode EG> под FreeBSD 11.3, это когда в системе создаётся EG> полноценный интерфейс ipsec0 для IPSec туннельного режима. EG> Работает: https://dadv.livejournal.com/209140.html На сколько я помню, в мануалах стронгсвана хоть и рассказывают про эту возможность, но говорят, что проще поднять стандартный gre over ipsec. Меньше проблем с совместимостью. Причем, для линукса точно так-же. Good bye! Andrew --- GoldED+/W32 1.1.4.7 |
#3
|
|||
|
|||
Re: if_ipsec(4)
Eugene Grosbein написал(а) к Andrew Kant в Feb 20 10:55:25 по местному времени:
05 февр. 2020, среда, в 19:54 NOVT, Andrew Kant написал(а): EG>> Довелось потестировать route-based IPSec tunnel mode EG>> под FreeBSD 11.3, это когда в системе создаётся EG>> полноценный интерфейс ipsec0 для IPSec туннельного режима. EG>> Работает: https://dadv.livejournal.com/209140.html AK> На сколько я помню, в мануалах стронгсвана хоть и рассказывают про эту AK> возможность, но говорят, что проще поднять стандартный gre over ipsec. AK> Меньше проблем с совместимостью. Причем, для линукса точно так-же. Если бы ты внимательней почитал начало поста, то увидил бы вводную: удалённый пир нам не подконтролен и не мы определяем, какой режим будет использоваться. Eugene -- Поэты - страшные люди. У них все святое. --- slrn/1.0.3 (FreeBSD) |
#4
|
|||
|
|||
if_ipsec(4)
Andrew Kant написал(а) к Eugene Grosbein в Feb 20 08:21:23 по местному времени:
Нello Eugene! Thursday February 06 2020 10:55, Eugene Grosbein wrote to Andrew Kant: EG>>> Довелось потестировать route-based IPSec tunnel mode EG>>> под FreeBSD 11.3, это когда в системе создаётся EG>>> полноценный интерфейс ipsec0 для IPSec туннельного режима. EG>>> Работает: https://dadv.livejournal.com/209140.html AK>> На сколько я помню, в мануалах стронгсвана хоть и рассказывают про AK>> эту возможность, но говорят, что проще поднять стандартный gre over AK>> ipsec. Меньше проблем с совместимостью. Причем, для линукса точно AK>> так-же. EG> Если бы ты внимательней почитал начало поста, то увидил бы вводную: EG> удалённый пир нам не подконтролен и не мы определяем, EG> какой режим будет использоваться. Это как-то влияет на то, что в мануале есть рекомендация пользоваться не роут-интерфейсами, а более традиционными вариантами? Если я прочитаю внимательнее, она пропадет? Good bye! Andrew --- GoldED+/W32 1.1.4.7 |
#5
|
|||
|
|||
Re: if_ipsec(4)
Eugene Grosbein написал(а) к Andrew Kant в Feb 20 23:49:27 по местному времени:
06 февр. 2020, четверг, в 08:21 NOVT, Andrew Kant написал(а): EG>> Если бы ты внимательней почитал начало поста, то увидил бы вводную: EG>> удалённый пир нам не подконтролен и не мы определяем, EG>> какой режим будет использоваться. AK> Это как-то влияет на то, что в мануале есть рекомендация пользоваться не AK> роут-интерфейсами, а более традиционными вариантами? Если я прочитаю AK> внимательнее, она пропадет? В котором конкретно мануале? Eugene -- Что делать?! Мир стоит на воровстве!.. Воруют в Самарканде и в Хиве, В Ширазе, в Тегеране и в Стамбуле И даже - страшно вымолвить - в Москве!.. --- slrn/1.0.3 (FreeBSD) |
#6
|
|||
|
|||
if_ipsec(4)
Andrew Kant написал(а) к Eugene Grosbein в Feb 20 20:34:01 по местному времени:
Нello Eugene! Thursday February 06 2020 23:49, Eugene Grosbein wrote to Andrew Kant: EG> 06 февр. 2020, четверг, в 08:21 NOVT, Andrew Kant написал(а): EG>>> Если бы ты внимательней почитал начало поста, то увидил бы EG>>> вводную: удалённый пир нам не подконтролен и не мы EG>>> определяем, какой режим будет использоваться. AK>> Это как-то влияет на то, что в мануале есть рекомендация AK>> пользоваться не роут-интерфейсами, а более традиционными AK>> вариантами? Если я прочитаю внимательнее, она пропадет? EG> В котором конкретно мануале? https://wiki.strongswan.org/projects.../routebasedvpn GRE Another alternative is to use GRE, which is a generic point-to-point tunneling protocol that adds an additional encapsulation layer (at least 4 bytes). But it provides a portable way of creating route-based VPNs (running a routing protocol on-top is also easy). У всех остальных альтернатив целая куча ограничений к применимости. Конечно, никто тебе не запретит использовать новое, но разумный консерватизм никогда не помешает. Good bye! Andrew --- GoldED+/W32 1.1.4.7 |
#7
|
|||
|
|||
Re: if_ipsec(4)
Eugene Grosbein написал(а) к Andrew Kant в Feb 20 11:39:54 по местному времени:
07 февр. 2020, пятница, в 20:34 NOVT, Andrew Kant написал(а): EG>> 06 февр. 2020, четверг, в 08:21 NOVT, Andrew Kant написал(а): EG>>>> Если бы ты внимательней почитал начало поста, то увидил бы EG>>>> вводную: удалённый пир нам не подконтролен и не мы EG>>>> определяем, какой режим будет использоваться. AK>>> Это как-то влияет на то, что в мануале есть рекомендация AK>>> пользоваться не роут-интерфейсами, а более традиционными AK>>> вариантами? Если я прочитаю внимательнее, она пропадет? EG>> В котором конкретно мануале? AK> https://wiki.strongswan.org/projects.../routebasedvpn AK> GRE AK> Another alternative is to use GRE, which is a generic point-to-point tunneling AK> protocol that adds an additional encapsulation layer (at least 4 bytes). But it AK> provides a portable way of creating route-based VPNs (running a routing protocol AK> on-top is also easy). AK> У всех остальных альтернатив целая куча ограничений к применимости. У линуксовых альтернатив. Эта дока в настоящий момент описывает исключительно линуксовый вариант Route-based VPNs, и ограничения тоже линусковых реализаций. AK> Конечно, никто тебе не запретит использовать новое, но разумный консерватизм AK> никогда не помешает. Ты всё ещё не понимаешь. Речь не о том случае, когда у тебя есть свобода выбора конкретной схемы туннелирования, то есть когда ты можешь позволить себе роскошь использовать гораздо более удобный IPSec транспортного режима в сочетании с туннелем GRE, или лучше IPIP как более экономный (меньше оверхед, наш gif). Eugene --- slrn/1.0.3 (FreeBSD) |
#8
|
|||
|
|||
if_ipsec(4)
Victor Sudakov написал(а) к Andrew Kant в Mar 20 21:00:00 по местному времени:
Dear Andrew, 05 Feb 20 19:54, you wrote to Eugene Grosbein: EG>> Довелось потестировать route-based IPSec tunnel mode EG>> под FreeBSD 11.3, это когда в системе создаётся EG>> полноценный интерфейс ipsec0 для IPSec туннельного режима. EG>> Работает: https://dadv.livejournal.com/209140.html AK> На сколько я помню, в мануалах стронгсвана хоть и рассказывают про эту AK> возможность, но говорят, что проще поднять стандартный gre over ipsec. AK> Меньше проблем с совместимостью. Причем, для линукса точно так-же. Я никаких преимуществ gre перед ipencap не вижу, разве что теоретически кто-нибудь умеет натить (в смысле PAT-ить) gre по каким-нибудь полям в gre-заголовке. Victor Sudakov, VAS4-RIPE, VAS47-RIPN --- GoldED+/BSD 1.1.5-b20170303-b20170303 |
#9
|
|||
|
|||
Re: if_ipsec(4)
Dmitry Ivanov написал(а) к Victor Sudakov в Mar 20 18:32:11 по местному времени:
Здравствуйте, Victor. Вы писали 18 марта 2020 г., 0:00:00: > Я никаких преимуществ gre перед ipencap не вижу, разве что GRE на моей памяти резал какой-о бекбон московский. Причем совершенно официально. -- С уважением, Dmitry --- InterSquish NNTP Server/FTN Gate |
#10
|
|||
|
|||
if_ipsec(4)
Andrew Kant написал(а) к Victor Sudakov в Mar 20 19:47:27 по местному времени:
Нello Victor! Tuesday March 17 2020 21:00, Victor Sudakov wrote to Andrew Kant: VS> Я никаких преимуществ gre перед ipencap не вижу, разве что теоретически VS> кто-нибудь умеет натить (в смысле PAT-ить) gre по каким-нибудь полям в VS> gre-заголовке. Ну чисто функционально GRE может тунелировать и L2, и L3, IPinIP соответственно умеет только L3. Так что, как минимум, это преимущество есть :) Good bye! Andrew --- GoldED+/W32 1.1.4.7 |