>[оверквотинг удален]
>> общая необразованность проглядывает, сляшали что есть RADIUS/TATACS -- как-же и это осовенно
>> учитывая что основная платформа win32 , в которой как извесно есть
>> AD, т.е. собственно всё можно было сделать через kerberos
> AD появилось как вы помните позже.
> Кроме того Radius / TATACS не являеются частью IPSEC :)
> Это отдельные протоколы - и к чему вы их вспомлини даже не
> знаю.
> Я просил вас показать именно в IPSec как это сделать - вы
> показываете на сторонние вещи :)
> Которые еще никак не связаны с задачей рассылки ключевых сертификтов.на текущий момент есть несколько распростаннённых реализаций ipsec -- одна от cisco в винде, klips в linux'ах.
обычно для работы ipsec необходима служба IKE -- которая заведует авторизацией,аутентификацией ну и ключами кодирования.
обычно эта самая IKE (например racoon или strongswan) легко и просто уонектится к radius серверу для AA, также часто бывает что сама служба (обе перечисленные) умеют работать с сертификатами, со службами отзыва оных
>[оверквотинг удален]
>>>> костыли
>>> Костыли или не костыли - не вам решать. По ТЗ было такое
>>> требование - оно реализовано.
>> ну наконец вы признали что вы таки српать хотели на то как
>> разумно -- было ТЗ мы ляпили -- точно так-же как ляпили
>> новый tcp стёк -- ох,,, да какими-бы понятиями я не оперировал
>> -- такое никак как костылестроение подругому, как быдлокод не назвать
> TCP стек нужен для реализации IDS - что бы фильтровать через себя
> все пакеты и держать state machine адекватную сокету. Хотя видимо это
> слишком сложное объяснение :)
видел я ваше IDS -- можете не продолжать
>[оверквотинг удален]
>>> то количество политик растет оччень сильно.
>> Ыксперт -- конечно вам чуждо что политика говорит как тунелирова/кодировать а правила
>> фильтрации указывают какой трифик этой политикой будет пользоваться. хоть 40 подсетей
>> в одну политику
> Видимо Ыксперт тут вы. Я зарание сказал пользоваться только IPSec tunneling mode,
> а не создавать gre тунель который будет шифроваться ipsec с роутингом
> через этот gre тунель. В этом случае вам потребуется полика для
> каждой сети и каждого endpoint.
> Вы же описали использование ipsec в режиме transport mode :)
> http://en.wikipedia.org/wiki/IPsec
что только начал пользоваться гуглём и ничего лучше не того?
вырезка из man setkey (всё то-же самое умет делать стандартная утилита ip -- только формат ввода другой)
-----------
EXAMPLES
add 3ffe:501:4819::1 3ffe:501:481d::1 esp 123457
-E des-cbc 0x3ffe05014819ffff ;
add -6 myhost.example.com yourhost.example.com ah 123456
-A hmac-sha1 "AH SA configuration!" ;
add 10.0.11.41 10.0.11.33 esp 0x10001
-E des-cbc 0x3ffe05014819ffff
-A hmac-md5 "authentication!!" ;
get 3ffe:501:4819::1 3ffe:501:481d::1 ah 123456 ;
flush ;
dump esp ;
spdadd 10.0.11.41/32[21] 10.0.11.33/32[any] any
-P out ipsec esp/tunnel/192.168.0.1-192.168.1.2/require ;
add 10.1.10.34 10.1.10.36 tcp 0x1000 -A tcp-md5 "TCP-MD5 BGP secret" ;
add 10.0.11.41 10.0.11.33 esp 0x10001
-ctx 1 1 "system_u:system_r:unconfined_t:SystemLow-SystemHigh"
-E des-cbc 0x3ffe05014819ffff;
spdadd 10.0.11.41 10.0.11.33 any
-ctx 1 1 "system_u:system_r:unconfined_t:SystemLow-SystemHigh"
-P out ipsec esp/transport//require ;
-----------
это из примера
так вот нижеприведённые записи будут пользоваться одним политикой
spdadd 10.0.11.41/32[21] 10.0.11.33/32[any] any
-P out ipsec esp/tunnel/192.168.0.1-192.168.1.2/require ;
spdadd 10.0.11.42/32[21] 10.0.11.32/32[any] any
-P out ipsec esp/tunnel/192.168.0.1-192.168.1.2/require ;
и ВНИМАНИЕ!! без использования каких-бы-то нибыло дополнительных интерфейсов -- не читайте советских газ^W всяко херню на педивикии -- туда бывают и ни такое напишут.
> советую прочитать, я не зря оставил эту маленкую особенность в задаче.
ваш высочайший профуровень.... короче диву даюсь, господин профессиАнал не пробЫвал читать rfc или какую другую более техническую литературу?
>[оверквотинг удален]
>>> Страдает другими :) В частности отсутсвием вменяемого ключевого центра.
>>> Ибо набор скриптов easy-rsa входящий в его комплект таковым не назвать.
>>> Не - можно написать свое.
>> читовы,читовы -- как-же оне не додумальсь написать ещё и свой CA, ах
>> -- да это наверное потому что вся инфраструктура относительно сертификатов уже
>> была, и нет не говорите мне что придумывать свою уникальное CA
>> было не костылестроение.
> Нету инфрастуктуры сертификатов. просто у OpenVPN ключевой центр совмешен с центральным
> серверов, и принципиально не может быть обменов клиент-клиент без конекта на
> центральный сервер.
как-же, а давайте спросим сколько зарабытывает тот-же VeriSign, нет -- конечно же это вы это изобрели
>[оверквотинг удален]
>>> А про nat-t лучше не вспоминать, о том как оно работает я
>>> чуть чуть вкурсе и то что разные реализации его с трудом
>>> совместимы.
>> спасибо за беседу -- я много раз вспоминал про пида^Wчудаков которые это
>> писали -- во многом как оказалось я был прав.
>> вы можете продолжить удволетворять ваше голодное ЧСВ, случаем спросив у любого нельтрального
>> к вам админа что он думает о разрабах.
> да да :) а вам подучить бы что такое IPSec, его режимы
> и логику работы.
> И что такое инфраструктура CA, и как она связана с Radius :-)
что в этот раз вы уже не пользовались гуглом, ну тогда воспользуйтесь любимой вами педивикией -- и нет не про калифорнию я -- не про неё.
>> не хворайте.
> И вам не болеть :)
