forum.opennet.ru

Составление сообщения

Исходное сообщение

"Вышло обновление прошивки для коммуникаторов Nokia N900 - PR..."
Отправлено Аноним, 28-Окт-10 21:53

>[оверквотинг удален]
>>> виде
>> вы подразумеваете под IPSec нечто другое чем в стандарте.
>> IPSec это просто транспорт с шифрованием трафика.
>> Никой инфраструктуры для ключевого центра в нем не заложено.
>> В тоже время ценность вещей типа VipNet именно в централизованном управлении и
>> ключевом центре.
>> Который может оперативно управлять видимостью абонентов общей виртуальной сети.
> общая необразованность проглядывает, сляшали что есть RADIUS/TATACS -- как-же и это осовенно
> учитывая что основная платформа win32 , в которой как извесно есть
> AD, т.е. собственно всё можно было сделать через kerberos
AD появилось как вы помните позже.
Кроме того Radius / TATACS не являеются частью IPSEC :)
Это отдельные протоколы - и к чему вы их вспомлини даже не знаю.
Я просил вас показать именно в IPSec как это сделать - вы показываете на сторонние вещи :)
Которые еще никак не связаны с задачей рассылки ключевых сертификтов.
>>>> Ах да, кроме собственно сетевых задач - в состав VipNet входит почтовый
>>>> сервис с шифрование переписки.
>>> костыли
>> Костыли или не костыли - не вам решать. По ТЗ было такое
>> требование - оно реализовано.
> ну наконец вы признали что вы таки српать хотели на то как
> разумно -- было ТЗ мы ляпили -- точно так-же как ляпили
> новый tcp стёк -- ох,,, да какими-бы понятиями я не оперировал
> -- такое никак как костылестроение подругому, как быдлокод не назвать
TCP стек нужен для реализации IDS - что бы фильтровать через себя все пакеты и держать state machine адекватную сокету. Хотя видимо это слишком сложное объяснение :)

>[оверквотинг удален]
>>>> бы объединить 4 филиала у которых по 3-4 внутренних сети -
>>>> причем надо использовать только тунельный ipsec.
>>> одну политику -- одну политику на один эндпоинт достаточно, но если необходимо
>>> есть возможность хоть по отдельной политике на каждый ip.
>> Да да :) 4 филала дают дофига политик, каждый с каждым, а
>> если в каждой еще 4 независимых сети,
>> то количество политик растет оччень сильно.
> Ыксперт -- конечно вам чуждо что политика говорит как тунелирова/кодировать а правила
> фильтрации указывают какой трифик этой политикой будет пользоваться. хоть 40 подсетей
> в одну политику
Видимо Ыксперт тут вы. Я зарание сказал пользоваться только IPSec tunneling mode, а не создавать gre тунель который будет шифроваться ipsec с роутингом через этот gre тунель. В этом случае вам потребуется полика для каждой сети и каждого endpoint.
Вы же описали использование ipsec в режиме transport mode :)
http://en.wikipedia.org/wiki/IPsec
советую прочитать, я не зря оставил эту маленкую особенность в задаче.

>[оверквотинг удален]
>>> не суёт во все щели, особенно если есть более лёгкие и
>>> уже существуюшие (не говоря о распростаннённости) решения. Как вы понимаете --
>>> openvpn в отличии от этой ....,такой грудой недостатков не обладает.
>> Страдает другими :) В частности отсутсвием вменяемого ключевого центра.
>> Ибо набор скриптов easy-rsa входящий в его комплект таковым не назвать.
>> Не - можно написать свое.
> читовы,читовы -- как-же оне не додумальсь написать ещё и свой CA, ах
> -- да это наверное потому что вся инфраструктура относительно сертификатов уже
> была, и нет не говорите мне что придумывать свою уникальное CA
> было не костылестроение.
Нету инфрастуктуры сертификатов. просто у OpenVPN ключевой центр совмешен с центральным серверов, и принципиально не может быть обменов клиент-клиент без конекта на центральный сервер.

>[оверквотинг удален]
>>> на натах -- полная жопа
>> За исключением того что у него был свой NAT :-) хотя может
>> с тех пор что-то там придумали.
>> А про nat-t лучше не вспоминать, о том как оно работает я
>> чуть чуть вкурсе и то что разные реализации его с трудом
>> совместимы.
> спасибо за беседу -- я много раз вспоминал про пида^Wчудаков которые это
> писали -- во многом как оказалось я был прав.
> вы можете продолжить удволетворять ваше голодное ЧСВ, случаем спросив у любого нельтрального
> к вам админа что он думает о разрабах.
да да :) а вам подучить бы что такое IPSec, его режимы и логику работы.
И что такое инфраструктура CA, и как она связана с Radius :-)
> не хворайте.
И вам не болеть :)

Исходное сообщение
"Вышло обновление прошивки для коммуникаторов Nokia N900 - PR..." Отправлено Аноним, 28-Окт-10 21:53
>[оверквотинг удален] >>> виде >> вы подразумеваете под IPSec нечто другое чем в стандарте. >> IPSec это просто транспорт с шифрованием трафика. >> Никой инфраструктуры для ключевого центра в нем не заложено. >> В тоже время ценность вещей типа VipNet именно в централизованном управлении и >> ключевом центре. >> Который может оперативно управлять видимостью абонентов общей виртуальной сети. > общая необразованность проглядывает, сляшали что есть RADIUS/TATACS -- как-же и это осовенно > учитывая что основная платформа win32 , в которой как извесно есть > AD, т.е. собственно всё можно было сделать через kerberos AD появилось как вы помните позже. Кроме того Radius / TATACS не являеются частью IPSEC :) Это отдельные протоколы - и к чему вы их вспомлини даже не знаю. Я просил вас показать именно в IPSec как это сделать - вы показываете на сторонние вещи :) Которые еще никак не связаны с задачей рассылки ключевых сертификтов. >>>> Ах да, кроме собственно сетевых задач - в состав VipNet входит почтовый >>>> сервис с шифрование переписки. >>> костыли >> Костыли или не костыли - не вам решать. По ТЗ было такое >> требование - оно реализовано. > ну наконец вы признали что вы таки српать хотели на то как > разумно -- было ТЗ мы ляпили -- точно так-же как ляпили > новый tcp стёк -- ох,,, да какими-бы понятиями я не оперировал > -- такое никак как костылестроение подругому, как быдлокод не назвать TCP стек нужен для реализации IDS - что бы фильтровать через себя все пакеты и держать state machine адекватную сокету. Хотя видимо это слишком сложное объяснение :) >[оверквотинг удален] >>>> бы объединить 4 филиала у которых по 3-4 внутренних сети - >>>> причем надо использовать только тунельный ipsec. >>> одну политику -- одну политику на один эндпоинт достаточно, но если необходимо >>> есть возможность хоть по отдельной политике на каждый ip. >> Да да :) 4 филала дают дофига политик, каждый с каждым, а >> если в каждой еще 4 независимых сети, >> то количество политик растет оччень сильно. > Ыксперт -- конечно вам чуждо что политика говорит как тунелирова/кодировать а правила > фильтрации указывают какой трифик этой политикой будет пользоваться. хоть 40 подсетей > в одну политику Видимо Ыксперт тут вы. Я зарание сказал пользоваться только IPSec tunneling mode, а не создавать gre тунель который будет шифроваться ipsec с роутингом через этот gre тунель. В этом случае вам потребуется полика для каждой сети и каждого endpoint. Вы же описали использование ipsec в режиме transport mode :) http://en.wikipedia.org/wiki/IPsec советую прочитать, я не зря оставил эту маленкую особенность в задаче. >[оверквотинг удален] >>> не суёт во все щели, особенно если есть более лёгкие и >>> уже существуюшие (не говоря о распростаннённости) решения. Как вы понимаете -- >>> openvpn в отличии от этой ....,такой грудой недостатков не обладает. >> Страдает другими :) В частности отсутсвием вменяемого ключевого центра. >> Ибо набор скриптов easy-rsa входящий в его комплект таковым не назвать. >> Не - можно написать свое. > читовы,читовы -- как-же оне не додумальсь написать ещё и свой CA, ах > -- да это наверное потому что вся инфраструктура относительно сертификатов уже > была, и нет не говорите мне что придумывать свою уникальное CA > было не костылестроение. Нету инфрастуктуры сертификатов. просто у OpenVPN ключевой центр совмешен с центральным серверов, и принципиально не может быть обменов клиент-клиент без конекта на центральный сервер. >[оверквотинг удален] >>> на натах -- полная жопа >> За исключением того что у него был свой NAT :-) хотя может >> с тех пор что-то там придумали. >> А про nat-t лучше не вспоминать, о том как оно работает я >> чуть чуть вкурсе и то что разные реализации его с трудом >> совместимы. > спасибо за беседу -- я много раз вспоминал про пида^Wчудаков которые это > писали -- во многом как оказалось я был прав. > вы можете продолжить удволетворять ваше голодное ЧСВ, случаем спросив у любого нельтрального > к вам админа что он думает о разрабах. да да :) а вам подучить бы что такое IPSec, его режимы и логику работы. И что такое инфраструктура CA, и как она связана с Radius :-) > не хворайте. И вам не болеть :)

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру