>[оверквотинг удален]
>>> знаю.
>>> Я просил вас показать именно в IPSec как это сделать - вы
>>> показываете на сторонние вещи :)
>>> Которые еще никак не связаны с задачей рассылки ключевых сертификтов.
>> на текущий момент есть несколько распростаннённых реализаций ipsec -- одна от cisco
>> в винде, klips в linux'ах.
>> обычно для работы ipsec необходима служба IKE -- которая заведует авторизацией,аутентификацией
>> ну и ключами кодирования.
> Нужна - но она не является частью IPSec :) IKE это отдельная
> часть от ipsec.ага отдельная и почти неотделимая для нормального использования
>[оверквотинг удален]
>> к radius серверу для AA, также часто бывает что сама служба
>> (обе перечисленные) умеют работать с сертификатами, со службами отзыва оных
> Еще раз - с каких пор Radius является частью IPSec?
> Это уже следующая сущность :)
> Кроме того как бы с offline - когда нету прямой связи между
> узлами и надо где-то хранить ключевые сертификаты.
> Еще вдруг потребуется что бы кто-то ключи генеровал - это что-то еще
> надо думать?
> сколько костылей - вместо того что бы брать и ставить один комплекс
> :)
уж лучше unix way чем ваше блобятина где навалено
>[оверквотинг удален]
>>> Видимо Ыксперт тут вы. Я зарание сказал пользоваться только IPSec tunneling mode,
>>> а не создавать gre тунель который будет шифроваться ipsec с роутингом
>>> через этот gre тунель. В этом случае вам потребуется полика для
>>> каждой сети и каждого endpoint.
>>> Вы же описали использование ipsec в режиме transport mode :)
>>> http://en.wikipedia.org/wiki/IPsec
>> что только начал пользоваться гуглём и ничего лучше не того?
>> вырезка из man setkey (всё то-же самое умет делать стандартная утилита ip
>> -- только формат ввода другой)
> да да :) только количество правил будет больше чем 1
итак не путаем политику и правила указывающие что этой политике подчиняется
>[оверквотинг удален]
> на другом конце будет 10.0.2.0/24, 10.0.6.0/24, 10.0.10.0/24 -
> вопрос - сколько правил потребуется?
> Теперь усложним задачу
> появится третья нода у которой сети
> 10.0.3.0/24, 10.0.7.0/24, 10.0.11.0/24
> сколько правил потребуется?
> теперь оцени сколько правил потребуется каждый раз добавлять если каждая следующая нода
> будет иметь тоже 3 сетки за собой?
> твой первый ответ
>>>
при большОм количестве различных сетей и хостов подчиняющихся политике проще использовать
fw mark -- и тогда на каждую подсеть/хост/порт/протокол понадобиться всего одно правило в iptables
> правила
>>>> фильтрации указывают какой трифик этой политикой будет пользоваться. хоть 40 подсетей
>>>> в одну политику
>>>
> то есть вы считаете что 1 политикой вы можете описать обмен между
> {10.0.1.0/24, 10.0.5.0/24, 10.0.9.0/24 } и {10.0.2.0/24, 10.0.6.0/24, 10.0.10.0/24}.
> Я правильно вас понял ?
да -- если есть необходимость можно одним правилом iptables затащить указанное выше в одну политику, а вы не знали? как грустно...аж вслёзы пробивает
> лана - можете не оправдываться, все уже и так понятно :)
>> ваш высочайший профуровень.... короче диву даюсь, господин профессиАнал не пробЫвал читать
>> rfc или какую другую более техническую литературу?
> можно и на rfc - но вдруг будет сложно будет читать? если
> сразу не было понятно что CA не входит в задачу ipsec
> протокола и стандартов на него :) Для этого существует свой набор
> стандартов ;-)
простите, ну как-же ... этовы икаете про сертификаты -- обясняю доходчиво как это делается -- а то потеряетесь
>[оверквотинг удален]
>>>> была, и нет не говорите мне что придумывать свою уникальное CA
>>>> было не костылестроение.
>>> Нету инфрастуктуры сертификатов. просто у OpenVPN ключевой центр совмешен с центральным
>>> серверов, и принципиально не может быть обменов клиент-клиент без конекта на
>>> центральный сервер.
>> как-же, а давайте спросим сколько зарабытывает тот-же VeriSign, нет -- конечно же
>> это вы это изобрели
> Кто говорит о изобретении? Всегда говорится о реализации. это чуть разные вещи
> :)
>>> Нету инфрастуктуры сертификатов.
ваши слова ^^^^^^^^^^^^^^^^^^^^^^^^^
> На сим и закончим. Спасибо за развлечение :-)
а давайте продолжим, у меня к вам тоже (буду надеятся неприятных) пару вопросов
а ваше это умеет A/AAчерез EAP? а kerberos? а оно на ("любимой" мне) фряхе робит, а как у вас со стандартными алгоритмами? а мультипоинт может? а...аааа....подожду-ка я ответов