https://www.opennet.ru/openforum/vsluhforumID3/107266.html Представлен (https://strongswan.org/blog/2016/03/22/strongswan-5.4.0-released.html) выпуск strongSwan 5.4.0 (https://strongswan.org/), реализации IPsec для Linux, FreeBSD, Android, Windows и OS X. strongSwan является форком FreeS/WAN, одной из первых реализаций IPsec в Linux. В пятой версии strongSwan был переписан практически с нуля с оглядкой на современные стандарты, что выгодно отличает его от других форков FreeS/WAN.<br><br><br><br>IPsec обычно используется для создания VPN-сетей и представляет собой набор протоколов для реализации защищенной передачи данных по протоколу IP. IPsec (https://ru.wikipedia.org/wiki/IPsec) состоит из двух частей: протокола обмена ключами IKE и протокола передачи шифрованного трафика ESP. strongSwan реализует протоколы IKEv1 и IKEv2, а реализация ESP находится в ядре ОС, благодаря чему достигается высокая производительность работы VPN. Если ядро не поддерживает ESP (как, например, в случае Android), strongSwan использует внутреннюю реализацию в пространстве пользователя.<br><br><br><br>Основн https://www.opennet.ru/openforum/vsluhforumID3/107266.html#21 Sat, 02 Apr 2016 22:22:47 GMT оно и щас есть.<br>в LibreSwan ;)<br> https://www.opennet.ru/openforum/vsluhforumID3/107266.html#20 Fri, 01 Apr 2016 09:32:04 GMT Народ, кто замерял пропускную способность openvpn vs ipsec, подскажите. Есть шифрованные каналы на openvpn, но деградация пропускной способности на 100 Мб/с на 1-ядерном целероне огромна - канал сужается до 27 Мб/с. Если использовать core2duo, то получается выжать где-то 84 Мб/с. Есть мысль сделать всё на ipsec. Вопрос в том а будет ли ощутимый выигрыш?<br> https://www.opennet.ru/openforum/vsluhforumID3/107266.html#19 Sat, 26 Mar 2016 16:41:55 GMT Во-первых, это очень редкая ситуация, когда 100% трафика идет поверх TLS.<br>Во-вторых, GRE не прячем адрес источника и получателя. Такая инфа может выдать злоумышленнику структуру сети.<br> https://www.opennet.ru/openforum/vsluhforumID3/107266.html#18 Sat, 26 Mar 2016 16:36:31 GMT В последнее время ESP обычно заворачивают в UDP. Чуточку меньше пропускной способности, зато в сто раз меньше проблем с файрволлами.<br> https://www.opennet.ru/openforum/vsluhforumID3/107266.html#17 Sat, 26 Mar 2016 09:42:57 GMT Комментаторы выше уже описали различия между openvpn и ipsec. Хочу только добавить, что openvpn бывает еще и вреден когда вы внутри vpn хотите гонять уже зашифрованный траффик. Например, если у вас внутри vpn происходят исключительно SSL/TLS-соединения, то это порождает паразитную криптонагрузку. Тратите мощности и канал для того чтобы зашифровать что-то дважды. То есть если вы используете vpn преимущественно для маршрутизации, то и ipsec, и openvpn могут оказаться вредны. В таком случае есть ipip, GRE и прочее pptp.<br> https://www.opennet.ru/openforum/vsluhforumID3/107266.html#15 Sat, 26 Mar 2016 05:01:35 GMT Подсказываю, IPSec это расширение протокола IP, т.е. работает он на сетевом уровне OSI-модели. OpenVPN - это сервер прикладного уровня, который использует TLS/SSL, в который он заворачивает пользовательский трафик. Короче, разница между strongswan и openvpn такая же, как между IP и SMTP/HTTP/FTP.<br> https://www.opennet.ru/openforum/vsluhforumID3/107266.html#14 Fri, 25 Mar 2016 10:34:19 GMT Хорошо растолковали. Спасибо. Даже до меня дошло.<br> https://www.opennet.ru/openforum/vsluhforumID3/107266.html#13 Thu, 24 Mar 2016 19:39:25 GMT сравнивать теплое с мягким? ну-ну<br> https://www.opennet.ru/openforum/vsluhforumID3/107266.html#12 Thu, 24 Mar 2016 19:21:41 GMT Раньше там 256 было.<br>