= Сообщение: 10055 из 10753 ==================================== RU.UNIX.BSD = От : Eugene Grosbein 2:5006/1 29 Oct 20 06:00:42 Кому : Andrey Melnikoff 29 Oct 20 06:00:42 Тема : Re: Аварийный вход в LAN через сотовый модем FGHI : area://RU.UNIX.BSD?msgid=grosbein.net+0e28c790 На : area://RU.UNIX.BSD?msgid=banana.localnet+46c8097f = Кодировка сообщения определена как: IBM866 ================================= ============================================================================== 28 окт. 2020, среда, в 12:10 NOVT, Andrey Melnikoff написал(а):
>>> Стандартно это важно. А если тебя волнует количество прослоек, >>> можно сэкономить на L2TP и PPP, оставив только одну инкапсуляцию >>> UDP-Encap в случае с if_ipsec(4), когда IP-пакеты шифруются >>> просто IPSec-ом туннельного режима и заворачиваются в UDP >>> с дополнительными 8 байтами: 4 байта SPI и 4 номера последовательности, >>> итого 36 байт оверхеда на заголовки. AM>> Мне шифровать шифрованное не нужно. >> if_ipsec так и делает, берет нешифрованный IP и шифрует его один раз. AM> Да-да, а внутри бегает исключительно с NULL cipher ssh/https/rdp и прочием AM> imap/smtp.
А это уже твоё личное дело, что внутри гонять. И нет никакой разницы с другими типами шифрующих VPN.
Если у тебя внутри всё уже шифрованное, тебе никто не мешает использовать любую из нешифрующих инкапсуляций, начиная с L2TP over UDP и заканчивая IPIP/gif или GRE.
>>> В качестве демона IKE/ISAKMB годится strongswan из портов, >>> только что потестировал. AM>> Hу молодец, только вот изделиям фирмы сисько - место на свалке истории. AM>> Hо некоторые так и тянут эту корпоративщину куда не попадя. >> strongswan не изделие Cisco, а IPSec - публичный стандарт, >> а не корпоративщина. AM> То, что это стандартизировали - это еще не значит, что это придумала не AM> циска.
Hо это значит, что это не корпоративщина.
AM> Как и прочую кучу слабовменяемых в текущем мире нужных протоколов: AM> GRE (для улучшения которого в реальном мире аж пришлось придумать etherip),
EtherIP нужен для тех, кто не понимает, что эмулировать Ethernet в L3 VPN незачем и вообще ничего кроме ethernet не умеет.
AM> VRRP/HSRP (из-за цисковсих "патентов" в OpenBSD аж нарисовали свой CARP). AM> Hо от этого, протокол придуманный в мире где у каждого есть по глобальной AM> сеточке адресов класса A, лучше не стал.
Hикакой связи.
AM> И в текущие реалии - когда надо таскать ОДИH IPv4 между кучей нод AM> имея при этом дохренналион IPv6 - без костылей не натягивается.
Я без понятия, что значит "таскать один IPv4 между кучей нод".
Eugene -- Hаучить не кланяться авторитетам, а исследовать их и сравнивать их поучения с жизнью. Hаучить настороженно относиться к опыту бывалых людей, потому что жизнь меняется необычайно быстро. --- slrn/1.0.3 (FreeBSD) * Origin: RDTC JSC (2:5006/1@fidonet)