>>Ну, положим, с первыми тремя уровнями всё более-менее хорошо:).
>
>Ишь размечтались :) Нате вот, попробуйте что-то типа http://www.ntop.org/n2n/ на модель оси
>распихать. [далее много бесполезных букаф]Родной мой, туннелирование — это отдельный разговор. И OSI он ничуть не мешает. Точно так же как ядерная физика не мешает химии. :)
>>Да не так уж много проблем.
>
>Много, не много - но есть.
>
>>для SCTP случае UDP и TCP всё равно будут быстрее SCTP,
>
>Как минимум SCTP попросту избавит програмеров в ряде случаев от изобретения велосипедов
>и костылей которые они изобретают сейчас.
Я согласен, но только отчасти. От той части, которая относится к 5-му уровню OSI.
>>чисто исходя из соотношения навороченности протоколов, а, значит, у них своя
>>ниша останется. ;)
>
>А никто вроде и не собирался их закапывать.Просто еще 1 протокол с
>новыми свойствами, отличными от TCP и UDP.
Да ходють тут всякие...
>>Суть не меняется: это защитная мера. :)
>
>Это просто поправка на суровые реалии :P.Да, в эпоху создания TCP\IP и
>того что поверх бегает о хакерах не думали.А вот на момент
>разработки SCTP все уже были в курсе проблемы.
Называйте как хотите: поправками, аддонами или сервис-паками. :) Суть не меняется, это защитная мера.
>>Зависит от реализации. В OpenBSD поднять IPSec "с нуля" в первый раз,
>>обладая исключительно теоретической подготовокой, заняло меньше часа.
>
>Понимаете, я минимальный OpenVPN в режиме "точка-точка" без какой либо особой теоретической
>подготовки (которая у IPSec достаточно зубодробильная) подниму при отсутствии сюрпризов минут
>за 5.Ну может 10.
Читайте внимательно: "с нуля" и "в первый раз". Я OpenVPN сейчас быстро подниму, и IPSec тоже, т.к. опыт есть. И что? Вам лишь бы поспорить, или вы всё-таки будете читать, что вам пишут?
>При том оно еще и с NATами и
>фаерволами дружить будет (обычный набор UDP датаграмм или одно TCP соединение).Так
>что вторая точка легко может быть в Зимбабве при том что
>я - за натами и файрволами.До кучи может траффик сжимать например.А
>IPSec - достаточно наворочен, геморроен в настройке и пролезает далеко не
>везде.
Не надоело повторяться и других повторять? ;)
В настройке он где как геммороен. Вот скажите мне, где тут гемморой:
flow esp from 192.168.1.0/24 to 192.168.2.0/24 peer 5.6.7.8
esp from 1.2.3.4 to 5.6.7.8 spi file "/etc/ipsec/spi" \
authkey file "/etc/ipsec/authkey" \
enckey file "/etc/ipsec/enckey"
(плюс стандартные туннель и роутинг).
"Правильный" вариант с сертификатами требует столько же дополнительных усилий, сколько будет требовать в случае с OpenVPN.
ЧЯДНТ?
>>Во фряхе есть толковое руководство, думаю, цифры те же. В Linux и Windows
>>не пробовал, и желания нет, если честно. :)
>
>А у меня вообще особого желания связываться с ipsec нет.Завязываться на одну
>единственную фряху у меня желания еще меньше.А тот же openvpn я
>спокойно настрою за те же 10 минут в практически любой системе
>- а оно более-менее одинаковое везде.Может из-за всего этого ipsec и
>не шибко популярен? Во всяком случае юзают его весьма мало.
Если понимать теорию (то есть что как должно проходить), то с практикой проблем нет, достаточно читать руководство. Ещё раз повторяю: при знании теории достаточно читать руководство.
Ну а если не понимать, что происходит, вы и OpenVPN не настроите. Там ведь тоже туннели поднимаются, и всё такое… ;)
>[оверквотинг удален]
>>отвыкать: в консоли реально быстрее…
>
>Я что-то не уверен что в винде ipsec без гуя настраивается нормально.И,
>собственно, от VPN зачастую желательно чтобы оно все-таки работало везде и
>мне как-то не прикольно часами вдупливать "как это настроить на вон
>той системе?!".Собссно в винде тот же опенвпн с тем же конфигом
>будет работать(с минимальными поправками на ветер aka особенности платформы, доступно описанные
>на сайте этой штуки).Как и в пингвине и в *бсд и
>где там еще.А куда он денется то?Достаточно универсальная штукенция.Может и не
>всегда лучшая, хз.
Да пусть будет OpenVPN, сколько угодно. А у меня без дополнительных пакетов уже есть VPN. Стабильно работающий. И поддерживаемый на заметно большем числе платформ.
>>IPSec в моём случае работает в ядре и поэтому заметно более производительный.
>
>А, гм, вы его бенчмаркали? [много лишних букаф] Чаще всего
>каналы для этого отнюдь не толстые и упереться в производительность а
>не в канал - это еще постараться надо.С любым VPN.
Это у кого какие каналы.
>>Ну, про причины широкого распространения NAT я рассказывать не буду. ;) А
>>фаерволу ничто не мешает пропускать VPN-траффик между указанными узлами.
>
>Угу, кроме того что если файрволов и натов по пути эн штук
>- все их конфигурячить несколько запипешься, особенно если они - где-то
>в заднице.А так ничего.С тем же опенвпн'ом все сильно проще получается
>ИМХО - достаточно чтобы кто-то 1 мог слушать на 1 порту
>TCP или UDP и ... все.Явно универсальнее и куда как проще
>достижимое требование.Можно хоть с жпрса с его натом конектиться. И ты
>опять в своей сети...
В случае NAT оно лучше, я и не спорю. Но речи-то не шло о NAT'е! Вам ещё не надоело подменять обсуждаемые тезисы? Речь была не о OpenVPN vs. IPSec, вообще-то…
