if_ipsec(4)

Eugene Grosbein написал(а) к All в Feb 20 18:51:17 по местному времени:

Привет!

Довелось потестировать route-based IPSec tunnel mode
под FreeBSD 11.3, это когда в системе создаётся
полноценный интерфейс ipsec0 для IPSec туннельного режима.
Работает: https://dadv.livejournal.com/209140.html

Eugene
--
Все любят естественный наркотик
--- slrn/1.0.3 (FreeBSD)

Andrew Kant написал(а) к Eugene Grosbein в Feb 20 19:54:24 по местному времени:

Нello Eugene!

Wednesday February 05 2020 18:51, Eugene Grosbein wrote to All:

EG> Довелось потестировать route-based IPSec tunnel mode
EG> под FreeBSD 11.3, это когда в системе создаётся
EG> полноценный интерфейс ipsec0 для IPSec туннельного режима.
EG> Работает: https://dadv.livejournal.com/209140.html

На сколько я помню, в мануалах стронгсвана хоть и рассказывают про эту возможность, но говорят, что проще поднять стандартный gre over ipsec.
Меньше проблем с совместимостью. Причем, для линукса точно так-же.

Good bye!
Andrew

--- GoldED+/W32 1.1.4.7

Eugene Grosbein написал(а) к Andrew Kant в Feb 20 10:55:25 по местному времени:

05 февр. 2020, среда, в 19:54 NOVT, Andrew Kant написал(а):

EG>> Довелось потестировать route-based IPSec tunnel mode
EG>> под FreeBSD 11.3, это когда в системе создаётся
EG>> полноценный интерфейс ipsec0 для IPSec туннельного режима.
EG>> Работает: https://dadv.livejournal.com/209140.html
AK> На сколько я помню, в мануалах стронгсвана хоть и рассказывают про эту
AK> возможность, но говорят, что проще поднять стандартный gre over ipsec.
AK> Меньше проблем с совместимостью. Причем, для линукса точно так-же.

Если бы ты внимательней почитал начало поста, то увидил бы вводную:
удалённый пир нам не подконтролен и не мы определяем,
какой режим будет использоваться.

Eugene
--
Поэты - страшные люди. У них все святое.
--- slrn/1.0.3 (FreeBSD)

Andrew Kant написал(а) к Eugene Grosbein в Feb 20 08:21:23 по местному времени:

Нello Eugene!

Thursday February 06 2020 10:55, Eugene Grosbein wrote to Andrew Kant:

EG>>> Довелось потестировать route-based IPSec tunnel mode
EG>>> под FreeBSD 11.3, это когда в системе создаётся
EG>>> полноценный интерфейс ipsec0 для IPSec туннельного режима.
EG>>> Работает: https://dadv.livejournal.com/209140.html
AK>> На сколько я помню, в мануалах стронгсвана хоть и рассказывают про
AK>> эту возможность, но говорят, что проще поднять стандартный gre over
AK>> ipsec. Меньше проблем с совместимостью. Причем, для линукса точно
AK>> так-же.

EG> Если бы ты внимательней почитал начало поста, то увидил бы вводную:
EG> удалённый пир нам не подконтролен и не мы определяем,
EG> какой режим будет использоваться.

Это как-то влияет на то, что в мануале есть рекомендация пользоваться не роут-интерфейсами, а более традиционными вариантами? Если я прочитаю внимательнее, она пропадет?

Good bye!
Andrew

--- GoldED+/W32 1.1.4.7

Eugene Grosbein написал(а) к Andrew Kant в Feb 20 23:49:27 по местному времени:

06 февр. 2020, четверг, в 08:21 NOVT, Andrew Kant написал(а):

EG>> Если бы ты внимательней почитал начало поста, то увидил бы вводную:
EG>> удалённый пир нам не подконтролен и не мы определяем,
EG>> какой режим будет использоваться.
AK> Это как-то влияет на то, что в мануале есть рекомендация пользоваться не
AK> роут-интерфейсами, а более традиционными вариантами? Если я прочитаю
AK> внимательнее, она пропадет?

В котором конкретно мануале?

Eugene
--
Что делать?! Мир стоит на воровстве!..
Воруют в Самарканде и в Хиве,
В Ширазе, в Тегеране и в Стамбуле
И даже - страшно вымолвить - в Москве!..
--- slrn/1.0.3 (FreeBSD)

Andrew Kant написал(а) к Eugene Grosbein в Feb 20 20:34:01 по местному времени:

Нello Eugene!

Thursday February 06 2020 23:49, Eugene Grosbein wrote to Andrew Kant:

EG> 06 февр. 2020, четверг, в 08:21 NOVT, Andrew Kant написал(а):

EG>>> Если бы ты внимательней почитал начало поста, то увидил бы
EG>>> вводную: удалённый пир нам не подконтролен и не мы
EG>>> определяем, какой режим будет использоваться.
AK>> Это как-то влияет на то, что в мануале есть рекомендация
AK>> пользоваться не роут-интерфейсами, а более традиционными
AK>> вариантами? Если я прочитаю внимательнее, она пропадет?

EG> В котором конкретно мануале?

https://wiki.strongswan.org/projects.../routebasedvpn

GRE

Another alternative is to use GRE, which is a generic point-to-point tunneling protocol that adds an additional encapsulation layer (at least 4 bytes). But it provides a portable way of creating route-based VPNs (running a routing protocol on-top is also easy).

У всех остальных альтернатив целая куча ограничений к применимости.

Конечно, никто тебе не запретит использовать новое, но разумный консерватизм никогда не помешает.

Good bye!
Andrew

--- GoldED+/W32 1.1.4.7

Eugene Grosbein написал(а) к Andrew Kant в Feb 20 11:39:54 по местному времени:

07 февр. 2020, пятница, в 20:34 NOVT, Andrew Kant написал(а):

EG>> 06 февр. 2020, четверг, в 08:21 NOVT, Andrew Kant написал(а):
EG>>>> Если бы ты внимательней почитал начало поста, то увидил бы
EG>>>> вводную: удалённый пир нам не подконтролен и не мы
EG>>>> определяем, какой режим будет использоваться.
AK>>> Это как-то влияет на то, что в мануале есть рекомендация
AK>>> пользоваться не роут-интерфейсами, а более традиционными
AK>>> вариантами? Если я прочитаю внимательнее, она пропадет?
EG>> В котором конкретно мануале?
AK> https://wiki.strongswan.org/projects.../routebasedvpn
AK> GRE
AK> Another alternative is to use GRE, which is a generic point-to-point tunneling
AK> protocol that adds an additional encapsulation layer (at least 4 bytes). But it
AK> provides a portable way of creating route-based VPNs (running a routing protocol
AK> on-top is also easy).
AK> У всех остальных альтернатив целая куча ограничений к применимости.

У линуксовых альтернатив. Эта дока в настоящий момент описывает
исключительно линуксовый вариант Route-based VPNs, и ограничения
тоже линусковых реализаций.

AK> Конечно, никто тебе не запретит использовать новое, но разумный консерватизм
AK> никогда не помешает.

Ты всё ещё не понимаешь. Речь не о том случае, когда у тебя есть свобода
выбора конкретной схемы туннелирования, то есть когда ты можешь
позволить себе роскошь использовать гораздо более удобный
IPSec транспортного режима в сочетании с туннелем GRE,
или лучше IPIP как более экономный (меньше оверхед, наш gif).

Eugene
--- slrn/1.0.3 (FreeBSD)

Victor Sudakov написал(а) к Andrew Kant в Mar 20 21:00:00 по местному времени:

Dear Andrew,

05 Feb 20 19:54, you wrote to Eugene Grosbein:

EG>> Довелось потестировать route-based IPSec tunnel mode
EG>> под FreeBSD 11.3, это когда в системе создаётся
EG>> полноценный интерфейс ipsec0 для IPSec туннельного режима.
EG>> Работает: https://dadv.livejournal.com/209140.html

AK> На сколько я помню, в мануалах стронгсвана хоть и рассказывают про эту
AK> возможность, но говорят, что проще поднять стандартный gre over ipsec.
AK> Меньше проблем с совместимостью. Причем, для линукса точно так-же.

Я никаких преимуществ gre перед ipencap не вижу, разве что теоретически кто-нибудь умеет натить (в смысле PAT-ить) gre по каким-нибудь полям в gre-заголовке.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20170303-b20170303

Dmitry Ivanov написал(а) к Victor Sudakov в Mar 20 18:32:11 по местному времени:

Здравствуйте, Victor.

Вы писали 18 марта 2020 г., 0:00:00:

> Я никаких преимуществ gre перед ipencap не вижу, разве что

GRE на моей памяти резал какой-о бекбон московский. Причем совершенно
официально.

--
С уважением,
Dmitry
--- InterSquish NNTP Server/FTN Gate

Andrew Kant написал(а) к Victor Sudakov в Mar 20 19:47:27 по местному времени:

Нello Victor!

Tuesday March 17 2020 21:00, Victor Sudakov wrote to Andrew Kant:

VS> Я никаких преимуществ gre перед ipencap не вижу, разве что теоретически
VS> кто-нибудь умеет натить (в смысле PAT-ить) gre по каким-нибудь полям в
VS> gre-заголовке.

Ну чисто функционально GRE может тунелировать и L2, и L3, IPinIP соответственно умеет только L3. Так что, как минимум, это преимущество есть :)

Good bye!
Andrew

--- GoldED+/W32 1.1.4.7