On 3/5/07, Alexander Trotsai
On Sat, Mar 03, 2007 at 10:11:24AM +0200, Vladimir Velychko wrote: VV> >несколько избыточным. С другой стороны, есть еще такой фактор, что VV> >"надо, чтобы с цисками беспроблемно работало" (в формулировке VV> >заказчика). В общем, если кто что может посоветовать -- посоветуйте. VV> Мне удобней конфигурить IPSec на IOS. Сейчас IOS умеет делать VV> "tunnel protection ipsec". Не нужно плодить крипто-мапы, следить за VV> симметричностью ACL'ей с разных сторон, всё просто и прозрачно. VV> Если бы ещё в линухе реализовали 'ip tun mode ipsec' наступило бы VV> всеобщее счастие. :))
ну вообще-то там оно есть только конфигурится по другому Мы наверное немножко о разном говорим. :-)
стандартное ядро (без патчей) - ipsec/racoon Т.н. Native mode. Это аналог классического цисковского IPSec с криптомапами. С кошками совместимо, но "не наш метод". :) Другой вар-т - KLIPS, с патчем для ядра от гуси-лебеди (Openswan). В этом случае появляется и-фейс ipsecX. Почти то, что надо. Но хочется "большой и светлой любви", т.е. чтобы без патчей к ядру можно было сказать как в кошке: # /sbin/ip tun add cryptotun0 mode ipsec local x.x.x.x remote x.x.x.x
работает - год назад я реализовал 3 точки - взула и забула - да и шифрование там есть более криптостойкое, чем у кошек но совместимость с кошками - думаю будет, но не проверял особо тонкий момент - согласование ключей, но afaik и там все стандартно Та да, но нет согласия между командами Native IPSec & KLIPS. А жаль. -- VEL-[RIPE|UANIC]
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message