> Внезапно, IPsec соответствует этому принципу лучше, чем OpenVPN и сабж, потому что
> не занимается организацией туннелей и согласованием ключей.Принципы не выбиты в камне - логично выбирать те, которые в конкретной ситуации работают хорошо. Я настраивал ipsec - и мне это очень не понравилось! Все сложно, мутно, неочевидно. А после всех мытарств узнаем что у решения плохая совместимость с сетевым оборудованием, криптография мутная, а объем кода таков что про эффективный аудит 1 человеком или небольшой командой речи не идет. Зато идет речь про attack surface, если не бэкдоры NSA в алгоритмике.
> Туннели — это одна вещь, шифрование трафика — другая, ключи — третья. Можно сделать
> GRE или IPIP туннель без шифрования, а можно сделать шифрование без
> туннеля на IPsec ESP. А можно совместить и получить IPsec с VTI/XFRM vif.
Теоретически все так, а практически получаем другую проблему - комбинаторный взрыв на границах взаимодейтсвия. Получается как в микроядрах - вроде здорово, все по мелким независимым модулям распихано, но в целом пакость работает так что даром никому не надо. Вот ipsec очень в духе получился - поверх существующей инфраструктуры с минимальными проблемами не заводится. И создает больше проблем чем решает.
Поэтому для себя под "1 вещью" я буду считать не туннель. И не шифрование. А таки "VPN". Подразумевая более-менее типовой набор свойств. Нет, "VPN" без шифрования я всерьез рассматривать не буду - это на мое мнение годится разве что для коммуникаций в пределах 1 ДЦ, желательно целиком своего, и даже так - с оговорками. А сети видите ли не очень дружелюбная среда и там с трафиком может твориться что угодно. Поэтому без нормального крипто это просто не проходит минимальные требования и ведет к угрозам безопасности.
> Вечная участь программа построенных по философии unix — они не нужны 95% юзеров.
У философии *никс есть сильные стороны и слабые. Я предпочитаю пользоваться сильными, а если натыкаюсь на слабые - то не испытываю проблем взять и пересмотреть подход. Если гвоздь хреново закручивается отверткой - возьму молоток.
> Пипл хавает комбайны, которые работают из коробки. А при действительно
> серьёзном отношении к архитектуре приложения, с изкоробочностью обычно всё плохо.
Тут можно поспорить о том насколько далеко надо расщеплять "1 вещь". Даже тот же ls делает довольно много всего и таки тоже комбайн. Можно поспорить что для просмотра имен файлов должна быть одна прога, для просмотра размеров - другая, а права смотреть - третьей. А ls -la дескать надругательство над *nix way. Для "VPN" мое мнение см. выше.
> В случfе с IPsec, проблема "одминов" обычно в том, что они пытаются
> применить traffic selector как правило маршрутизации, зачастую вообще не представляя себе,
> что такое security associations. И закономерно лососают, а потом идут всем
> рассказывать, как IPsec неюниксвейный.
А еще оно просто не пролазит через половину оборудования. Ну да, потом кто-то затрахался и придумали костыли с энкапсуляцией в udp. И что получаем? Аналог wireguard из веревочек и палочек? Мутный, с кучей кода и сложный в настройке? И зачем бы он такой?
