= Сообщение: 3245 из 10763 ===================================== RU.UNIX.BSD = От : Victor Sudakov 2:5005/49.1 02 Jul 15 05:02:40 Кому : Alex Korchmar 02 Jul 15 05:02:40 Тема : IPSec VPN FGHI : area://RU.UNIX.BSD?msgid=2:5005/49.1+55950d94 На : area://RU.UNIX.BSD?msgid=<1187501663@ddt.demos.su>+e97325d3 = Кодировка сообщения определена как: CP866 ================================== ============================================================================== Dear Alex,
26 Jun 15 21:08, you wrote to me:
VS>> Он придуман, чтобы не вбивать туда SAD entries (со статическими VS>> ключами), но насколько я понимаю, от вбивания SPD entries он не VS>> избавляет. AK> generate_policy on внутри remote
А вот это похоже то что надо, спасибо.
>>> Тебе точно ipsec надо, ничего попроще не нашел? VS>> А что попроще, OpenVPN разве что или vtund? AK> pptp?
Если бы тебе его кто-то предложил в качестве VPN, ты бы собеседника уже с грязью смешал.
[dd]
>>> представляет собой какую-то совершенно феноменальную херню, так >>> делать не надо вообще ни в каком случае. VS>> Работать описанное будет. Сперва создаем gif туннели, потом VS>> шифруем AK> непонятно зачем, да, потом шифруем эти туннели. Hикаких намеков на AK> динамический роутинг в этом странном документе нет, с циской оно AK> малосовместимо, так что остается загадкой, зачем автор придумал AK> столько ненужных шагов (причем ни разу не намекнув что они не нужны AK> чуть более чем все) Скорее всего, как обычно, документацию писал AK> кто-то, кто плохо понимал как оно работает.
Как ты заметил, я эту документацию и не хвалил. Наоборот написал, что нет в ней нужного мне.
VS>> Если достаточно аналога статической маршрутизации, то можно делать VS>> и AK> или если туннель не нужен вообще. AK> У меня вот end-to-end шифрование. Маршрутизация от него совершенно AK> независима.
У меня потребность другая, я в соседнем письме описал топологию.
AK> При этом я таки видел end-to-end на gif внутри ipsec с белыми адресами AK> и статическим ключом. Просто потому что кто-то совсем не понимал, что AK> творит, и срисовывал с подобных примеров.
Часто можно встретить бездумное копирование конфигурации с примеров в Интернете, к сожалению. Но не отказываюсь от своих слов, что схема с gif+IPSec может иметь (ограниченное) применение.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN --- GoldED+/BSD 1.1.5-b20110223-b20110223 * Origin: Golden Bough (2:5005/49.1)