ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Slawa Olhovchenkov                   2:5030/500     28 May 2005  13:27:54
 To : Valentin Nechayev
 Subject : ipsec по ханбуку
 -------------------------------------------------------------------------------- 
 

 
 28 May 05, Valentin Nechayev writes to Slawa Olhovchenkov:
 
  SO>> Hа самом деле там возможна еще вот такая конструкция:
  SO>> spdadd 0.0.0.0/0 0.0.0.0/0 ipencap -P out ipsec esp/transport//require;
  SO>> которой достаточно одной на все туннели, если некриптованных нету.
  VN> Слишком специфическое условие ("некриптованных нету"), как по мне.
 
 Значит вычеркиваем.
 
  SO>> Далее, из замеченного. у racoon насколько я понял поддержка
  SO>> кончается,
  SO>> да и работает он не очень, насколько я понял из отзывов. Hеплохо бы
  SO>> добавить описание того, как работать на статических ключах.
  VN> racoon глюкала та ещё.
 
 Значит вписываем.
 
  VN> Вообще чем дальше тем хуже у меня впечатление от IPSec. IKE - ни
  VN> нормальных
  VN> стандартов (кое-как продвигают в RFC устаревшие на ходу варианты), ни
  VN> нормальных реализаций (racoon глюкала, isakmpd настроить требуется
  VN> умище как у Ленина). В ядре - линейность списка SPD (требуемая по RFC,
  VN> к сожалению) и отсутствие нумерации правил у setkey; вечные проблемы с MTU,
  VN> всплывающие в самой неподходящей позе и не леченные хронически;
 
 Есть вполне неплохой вариант ifconfig gif0 mtu 1500.
 
  VN> прямые дефекты реализации вроде того как я описывал - transport вокруг
  VN> GRE туннеля убивает туннель при любом реальном ключе...
 
 Последнее напомни?
 
  VN> Hе выглядит эта технология как рабочая. Увы.
 
 А что делать?! Везде она...
 
  SO>> И не хватает замечания о том, что "/require;" означает что весь
  SO>> некриптованный трафик между указанными в директиве адресами будет молча
  SO>> дропаться.
  VN> setkey это описывает, кажется. А бумажке в handbook я давно не верю.
 
 Hу будет хоть одна нормальная бумажка
 
  SO>> Кстати, куда нынче попадает трафик из ipsec? В файрвол или в ядро?
  VN> Ты думаешь, они сами знают? :(
 
 Так может тут знают.
 
 ... И какой-то Win95 будет мне указывать, когда комп выключать?!
 --- GoldED+/BSD 1.1.5
  * Origin:  (2:5030/500)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    ipsec по ханбуку   Slawa Olhovchenkov   19 May 2005 17:25:24   Re: ipsec по ханбуку   Valentin Nechayev   19 May 2005 17:55:35   ipsec по ханбуку   Slawa Olhovchenkov   19 May 2005 18:09:52   ipsec по ханбуку   Alexandr Oskolkov   20 May 2005 18:18:10   ipsec по ханбуку   Slawa Olhovchenkov   20 May 2005 16:42:08   ipsec по ханбуку   Alexandr Oskolkov   20 May 2005 20:06:20   ipsec по ханбуку   Slawa Olhovchenkov   20 May 2005 18:19:20   ipsec по ханбуку   Alexandr Oskolkov   20 May 2005 21:32:57   ipsec по ханбуку   Slawa Olhovchenkov   20 May 2005 20:16:44   ipsec по ханбуку   Alexandr Oskolkov   20 May 2005 23:25:19   ipsec по ханбуку   Slawa Olhovchenkov   20 May 2005 21:44:06   ipsec по ханбуку   Alexandr Oskolkov   21 May 2005 00:18:06   ipsec по ханбуку   Slawa Olhovchenkov   20 May 2005 22:33:02   ipsec по ханбуку   Alexandr Oskolkov   21 May 2005 10:06:35   ipsec по ханбуку   Slawa Olhovchenkov   21 May 2005 12:26:58   ipsec по ханбуку   Alexandr Oskolkov   21 May 2005 22:49:00   ipsec по ханбуку   Slawa Olhovchenkov   22 May 2005 01:34:54   ipsec по ханбуку   Andrey Ostanovsky   20 May 2005 23:29:42   ipsec по ханбуку   Alexandr Oskolkov   21 May 2005 10:19:11   ipsec по ханбуку   Andrey Ostanovsky   21 May 2005 09:31:06   ipsec по ханбуку   Alexandr Oskolkov   21 May 2005 12:13:37   ipsec по ханбуку   Alex Semenyaka   21 May 2005 19:27:58   Re: ipsec по ханбуку   Valentin Nechayev   28 May 2005 10:33:29   ipsec по ханбуку   Slawa Olhovchenkov   28 May 2005 13:27:54   Re: ipsec по ханбуку   Alexey Milevsky   28 May 2005 16:07:15   Re: ipsec по ханбуку   Gleb Smirnoff   19 May 2005 18:05:44   ipsec по ханбуку   Slawa Olhovchenkov   19 May 2005 18:17:20   Re: ipsec по ханбуку   Gleb Smirnoff   19 May 2005 22:35:28   ipsec по ханбуку   Slawa Olhovchenkov   20 May 2005 00:38:56   Re: ipsec по ханбуку   Gleb Smirnoff   20 May 2005 10:56:52   ipsec по ханбуку   Slawa Olhovchenkov   20 May 2005 11:13:04   Re: ipsec по ханбуку   Eugene Grosbein   19 May 2005 20:55:43   ipsec по ханбуку   Slawa Olhovchenkov   19 May 2005 18:19:42   ipsec по ханбуку   Alexandr Oskolkov   20 May 2005 18:23:34   ipsec по ханбуку   Alexandr Oskolkov   20 May 2005 18:14:50   ipsec по ханбуку   Slawa Olhovchenkov   20 May 2005 16:40:06   ipsec по ханбуку   Andrey Ostanovsky   20 May 2005 17:32:48   Re: ipsec по ханбуку   Eugene Grosbein   20 May 2005 20:33:17   ipsec по ханбуку   Alexandr Oskolkov   20 May 2005 19:42:39