if_ipsec

Victor Sudakov написал(а) к All в Jul 18 08:45:44 по местному времени:

Dear All,

Похоже, что политики IPSec, которые создает сабж, действительно не стираются командами "spdflush" или "setkey -FP'. И это правильно.

Вообще идея замечательная http://bu7cher.blogspot.com/2017/02/...c-freebsd.html
чем-то идеологически напоминает цискин "tunnel protection ipsec".

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Alex Korchmar написал(а) к Victor Sudakov в Jul 18 07:11:40 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Victor Sudakov <Victor.Sudakov@f49.n5005.z2.fidonet.org> wrote:

> Похоже, что политики IPSec, которые создает сабж, действительно не стираются
> командами "spdflush" или "setkey -FP'. И это правильно.
что наводит на мысли, что rekeying IKE там необратимо поломан.

автор, по всей вероятности, им не пользуется, "до сих пор называя электричку
- чугункой".

> Вообще идея замечательная
вообще идея непонятная. Ну разьве что кроме случая с неработой fastforward
(оно вообще кому-то еще надо или у всех давно уже циска?)

в остальных случаях - зачем плодить ненужные сущности и создавать какие-то
интерфейсы, которые даже и для отладки непригодны?

> Alex

--- ifmail v.2.15dev5.4

Victor Sudakov написал(а) к Alex Korchmar в Jul 18 15:23:36 по местному времени:

Dear Alex,

11 Jul 18 07:11, Alex Korchmar wrote to me:

>> Похоже, что политики IPSec, которые создает сабж, действительно не
>> стираются командами "spdflush" или "setkey -FP'. И это правильно.
AK> что наводит на мысли, что rekeying IKE там необратимо поломан.

При чем тут rekeying? Я сказал SPD не стираются, а ты наверное про SAD подумал?

AK> автор, по всей вероятности, им не пользуется, "до сих пор называя
AK> электричку - чугункой".

>> Вообще идея замечательная
AK> вообще идея непонятная. Ну разьве что кроме случая с неработой
AK> fastforward (оно вообще кому-то еще надо или у всех давно уже циска?)

AK> в остальных случаях - зачем плодить ненужные сущности и создавать
AK> какие-то интерфейсы, которые даже и для отладки непригодны?

Удобство настройки.

Вот интересно только, можно ли например OSPF запустить на сабжевых интерфейсах? Надо будет проверить.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Eugene Grosbein написал(а) к Victor Sudakov в Jul 18 19:14:20 по местному времени:

11 июля 2018, среда, в 13:23 NOVT, Victor Sudakov написал(а):

VS> Вот интересно только, можно ли например OSPF запустить на сабжевых интерфейсах?
VS> Надо будет проверить.

OSPF-у должно быть пофиг. Я его на gif-интерфейсах успешно использую
с quagga/ospfd, чем if_ipsec хуже?

Eugene
--- slrn/1.0.3 (FreeBSD)

Eugene Grosbein написал(а) к Alex Korchmar в Jul 18 19:15:58 по местному времени:

11 июля 2018, среда, в 05:11 NOVT, Alex Korchmar написал(а):

AK> вообще идея непонятная. Ну разьве что кроме случая с неработой fastforward
AK> (оно вообще кому-то еще надо или у всех давно уже циска?)

"fastforward" в явном виде больше нет, вместо него "tryforward" - если
ядро считает, что может фастфорварднуть пакет, так и делает, иначе
идёт по полному пути обработки.

Eugene
--
Все любят естественный наркотик
--- slrn/1.0.3 (FreeBSD)