= Сообщение: 413 из 3144 ================================== RU.LINUX.CHAINIK = От : Alexey Vissarionov 2:5020/545 03 Aug 14 22:24:44 Кому : Andrew Kant 03 Aug 14 22:24:44 Тема : ipsec interface mode FGHI : area://RU.LINUX.CHAINIK?msgid=2:5020/545+53de80f7 На : area://RU.LINUX.CHAINIK?msgid=2:469/83.1+53de451f = Кодировка сообщения определена как: CP866 ================================== ============================================================================== Доброго времени суток, Andrew! 03 Aug 2014 17:13:42, ты -> мне:
AK>>> Подскажите, как настроить ipsec на линуксе (например, opensuse 12), AK>>> чтоб создался отдельный интерфейс для туннеля? Чтоб на него можно AK>>> было пустить tcpdump, например. AK>>> Основная цель - сделать два таких интерфейса через разных AK>>> провайдеров и в quagga добавить, чтоб обеспечить некий resilience. AK>>> Через vtun это делается довольно просто, но с другой стороны AK>>> тунелей ставят железку, которая умеет только ipsec. AV>> Могу предположить, что железяка умеет IPsec over GRE. Соответственно, AV>> тебе понадобится что-то из серии ip tunnel add gre1 mode gre ... AV>> (для каждого провайдера). AK> ipsec over gre или gre over ipsec ? Как говорится, "мы живем в стране AK> дураков, вот только непонятно, мы среди них или они среди нас" :)
Можно по-всякому... Либо к пакетам GRE-тоннеля лепим AH, либо пакеты IPsec заворачиваем в тоннель :-)
"Мы таки покупаем или пrодаем?" // (ц)
AV>> В общем случае рекомендую вообще не использовать IPsec (там очень AV>> грустно с криптоалгоритмами: 3des и md5 до сих пор считаются нормой), AV>> а поднять два тоннеля, настроить OSPF, и уже внутри воспользоваться AV>> каким-нибудь OpenVPN. AK> Вот именно так и было, но в связи с внедрением железяки нужно рушить AK> готовую схему и переходить на "отраслевой стандарт".
Они там рыбный суп кушали? Фсмысле, уху ели?
-- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii