> >> Стандартно это важно. А если тебя волнует количество прослоек, > >> можно сэкономить на L2TP и PPP, оставив только одну инкапсуляцию > >> UDP-Encap в случае с if_ipsec(4), когда IP-пакеты шифруются > >> просто IPSec-ом туннельного режима и заворачиваются в UDP > >> с дополнительными 8 байтами: 4 байта SPI и 4 номера последовательности, > >> итого 36 байт оверхеда на заголовки. > AM> Мне шифровать шифрованное не нужно. > if_ipsec так и делает, берет нешифрованный IP и шифрует его один раз. Да-да, а внутри бегает исключительно с NULL cipher ssh/https/rdp и прочием imap/smtp.
> >> В качестве демона IKE/ISAKMB годится strongswan из портов, > >> только что потестировал. > AM> Hу молодец, только вот изделиям фирмы сисько - место на свалке истории. > AM> Hо некоторые так и тянут эту корпоративщину куда не попадя.
> strongswan не изделие Cisco, а IPSec - публичный стандарт, > а не корпоративщина. То, что это стандартизировали - это еще не значит, что это придумала не циска. Как и прочую кучу слабовменяемых в текущем мире нужных протоколов: GRE (для улучшения которого в реальном мире аж пришлось придумать etherip), VRRP/HSRP (из-за цисковсих "патентов" в OpenBSD аж нарисовали свой CARP). Hо от этого, протокол придуманный в мире где у каждого есть по глобальной сеточке адресов класса A, лучше не стал. И в текущие реалии - когда надо таскать ОДИH IPv4 между кучей нод имея при этом дохренналион IPv6 - без костылей не натягивается. --- ifmail v.2.15dev5.4 * Origin: Demos online service (2:5020/400)