Исходное сообщение
"Вышло обновление прошивки для коммуникаторов Nokia N900 - PR..." Отправлено pavel_simple, 28-Окт-10 23:52
>[оверквотинг удален] >>> знаю. >>> Я просил вас показать именно в IPSec как это сделать - вы >>> показываете на сторонние вещи :) >>> Которые еще никак не связаны с задачей рассылки ключевых сертификтов. >> на текущий момент есть несколько распростаннённых реализаций ipsec -- одна от cisco >> в винде, klips в linux'ах. >> обычно для работы ipsec необходима служба IKE -- которая заведует авторизацией,аутентификацией >> ну и ключами кодирования. > Нужна - но она не является частью IPSec :) IKE это отдельная > часть от ipsec. ага отдельная и почти неотделимая для нормального использования >[оверквотинг удален] >> к radius серверу для AA, также часто бывает что сама служба >> (обе перечисленные) умеют работать с сертификатами, со службами отзыва оных > Еще раз - с каких пор Radius является частью IPSec? > Это уже следующая сущность :) > Кроме того как бы с offline - когда нету прямой связи между > узлами и надо где-то хранить ключевые сертификаты. > Еще вдруг потребуется что бы кто-то ключи генеровал - это что-то еще > надо думать? > сколько костылей - вместо того что бы брать и ставить один комплекс > :) уж лучше unix way чем ваше блобятина где навалено >[оверквотинг удален] >>> Видимо Ыксперт тут вы. Я зарание сказал пользоваться только IPSec tunneling mode, >>> а не создавать gre тунель который будет шифроваться ipsec с роутингом >>> через этот gre тунель. В этом случае вам потребуется полика для >>> каждой сети и каждого endpoint. >>> Вы же описали использование ipsec в режиме transport mode :) >>> http://en.wikipedia.org/wiki/IPsec >> что только начал пользоваться гуглём и ничего лучше не того? >> вырезка из man setkey (всё то-же самое умет делать стандартная утилита ip >> -- только формат ввода другой) > да да :) только количество правил будет больше чем  1 итак не путаем политику и правила указывающие что этой политике подчиняется >[оверквотинг удален] > на другом конце будет 10.0.2.0/24, 10.0.6.0/24, 10.0.10.0/24 - > вопрос - сколько правил потребуется? > Теперь усложним задачу > появится третья нода у которой сети > 10.0.3.0/24, 10.0.7.0/24, 10.0.11.0/24 > сколько правил потребуется? > теперь оцени сколько правил потребуется каждый раз добавлять если каждая следующая нода > будет иметь тоже 3 сетки за собой? > твой первый ответ >>> при большОм количестве различных сетей и хостов подчиняющихся политике проще использовать fw mark -- и тогда на каждую подсеть/хост/порт/протокол понадобиться всего одно правило в iptables > правила >>>> фильтрации указывают какой трифик этой политикой будет пользоваться. хоть 40 подсетей >>>> в одну политику >>> > то есть вы считаете что 1 политикой вы можете описать обмен между > {10.0.1.0/24, 10.0.5.0/24, 10.0.9.0/24 } и {10.0.2.0/24, 10.0.6.0/24, 10.0.10.0/24}. > Я правильно вас понял ? да -- если есть необходимость можно одним правилом iptables затащить указанное выше в одну политику, а вы не знали? как грустно...аж вслёзы пробивает > лана - можете не оправдываться, все уже и так понятно :) >> ваш высочайший профуровень.... короче диву даюсь, господин профессиАнал не пробЫвал читать >> rfc или какую другую более техническую литературу? > можно и на rfc - но вдруг будет сложно будет читать? если > сразу не было понятно что CA не входит в задачу ipsec > протокола и стандартов на него :) Для этого существует свой набор > стандартов ;-) простите, ну как-же ... этовы икаете про сертификаты -- обясняю доходчиво как это делается -- а то потеряетесь >[оверквотинг удален] >>>> была, и нет не говорите мне что придумывать свою уникальное CA >>>> было не костылестроение. >>> Нету инфрастуктуры сертификатов. просто у OpenVPN ключевой центр совмешен с центральным >>> серверов, и принципиально не может быть обменов клиент-клиент без конекта на >>> центральный сервер. >> как-же, а давайте спросим сколько зарабытывает тот-же VeriSign, нет -- конечно же >> это вы это изобрели > Кто говорит о изобретении? Всегда говорится о реализации. это чуть разные вещи > :) >>> Нету инфрастуктуры сертификатов. ваши слова ^^^^^^^^^^^^^^^^^^^^^^^^^ > На сим и закончим. Спасибо за развлечение :-) а давайте продолжим, у меня к вам тоже (буду надеятся неприятных) пару вопросов а ваше это умеет A/AAчерез EAP? а kerberos? а оно на ("любимой" мне) фряхе робит, а как у вас со стандартными алгоритмами? а мультипоинт может? а...аааа....подожду-ка я ответов

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>[оверквотинг удален] >>>> знаю. >>>> Я просил вас показать именно в IPSec как это сделать - вы >>>> показываете на сторонние вещи :) >>>> Которые еще никак не связаны с задачей рассылки ключевых сертификтов. >>> на текущий момент есть несколько распростаннённых реализаций ipsec -- одна от cisco >>> в винде, klips в linux'ах. >>> обычно для работы ipsec необходима служба IKE -- которая заведует авторизацией,аутентификацией >>> ну и ключами кодирования. >> Нужна - но она не является частью IPSec :) IKE это отдельная >> часть от ipsec. > ага отдельная и почти неотделимая для нормального использования >>[оверквотинг удален] >>> к radius серверу для AA, также часто бывает что сама служба >>> (обе перечисленные) умеют работать с сертификатами, со службами отзыва оных >> Еще раз - с каких пор Radius является частью IPSec? >> Это уже следующая сущность :) >> Кроме того как бы с offline - когда нету прямой связи между >> узлами и надо где-то хранить ключевые сертификаты. >> Еще вдруг потребуется что бы кто-то ключи генеровал - это что-то еще >> надо думать? >> сколько костылей - вместо того что бы брать и ставить один комплекс >> :) > уж лучше unix way чем ваше блобятина где навалено >>[оверквотинг удален] >>>> Видимо Ыксперт тут вы. Я зарание сказал пользоваться только IPSec tunneling mode, >>>> а не создавать gre тунель который будет шифроваться ipsec с роутингом >>>> через этот gre тунель. В этом случае вам потребуется полика для >>>> каждой сети и каждого endpoint. >>>> Вы же описали использование ipsec в режиме transport mode :) >>>> http://en.wikipedia.org/wiki/IPsec >>> что только начал пользоваться гуглём и ничего лучше не того? >>> вырезка из man setkey (всё то-же самое умет делать стандартная утилита ip >>> -- только формат ввода другой) >> да да :) только количество правил будет больше чем 1 > итак не путаем политику и правила указывающие что этой политике подчиняется >>[оверквотинг удален] >> на другом конце будет 10.0.2.0/24, 10.0.6.0/24, 10.0.10.0/24 - >> вопрос - сколько правил потребуется? >> Теперь усложним задачу >> появится третья нода у которой сети >> 10.0.3.0/24, 10.0.7.0/24, 10.0.11.0/24 >> сколько правил потребуется? >> теперь оцени сколько правил потребуется каждый раз добавлять если каждая следующая нода >> будет иметь тоже 3 сетки за собой? >> твой первый ответ >>>> > при большОм количестве различных сетей и хостов подчиняющихся политике проще использовать > fw mark -- и тогда на каждую подсеть/хост/порт/протокол понадобиться всего одно правило > в iptables >> правила >>>>> фильтрации указывают какой трифик этой политикой будет пользоваться. хоть 40 подсетей >>>>> в одну политику >>>> >> то есть вы считаете что 1 политикой вы можете описать обмен между >> {10.0.1.0/24, 10.0.5.0/24, 10.0.9.0/24 } и {10.0.2.0/24, 10.0.6.0/24, 10.0.10.0/24}. >> Я правильно вас понял ? > да -- если есть необходимость можно одним правилом iptables затащить указанное выше > в одну политику, а вы не знали? как грустно...аж вслёзы пробивает >> лана - можете не оправдываться, все уже и так понятно :) >>> ваш высочайший профуровень.... короче диву даюсь, господин профессиАнал не пробЫвал читать >>> rfc или какую другую более техническую литературу? >> можно и на rfc - но вдруг будет сложно будет читать? если >> сразу не было понятно что CA не входит в задачу ipsec >> протокола и стандартов на него :) Для этого существует свой набор >> стандартов ;-) > простите, ну как-же ... этовы икаете про сертификаты -- обясняю доходчиво как > это делается -- а то потеряетесь >>[оверквотинг удален] >>>>> была, и нет не говорите мне что придумывать свою уникальное CA >>>>> было не костылестроение. >>>> Нету инфрастуктуры сертификатов. просто у OpenVPN ключевой центр совмешен с центральным >>>> серверов, и принципиально не может быть обменов клиент-клиент без конекта на >>>> центральный сервер. >>> как-же, а давайте спросим сколько зарабытывает тот-же VeriSign, нет -- конечно же >>> это вы это изобрели >> Кто говорит о изобретении? Всегда говорится о реализации. это чуть разные вещи >> :) >>>> Нету инфрастуктуры сертификатов. > ваши слова ^^^^^^^^^^^^^^^^^^^^^^^^^ >> На сим и закончим. Спасибо за развлечение :-) > а давайте продолжим, у меня к вам тоже (буду надеятся неприятных) пару > вопросов > а ваше это умеет A/AAчерез EAP? а kerberos? а оно на ("любимой" > мне) фряхе робит, а как у вас со стандартными алгоритмами? а > мультипоинт может? а...аааа....подожду-ка я ответов
	Введите код, изображенный на картинке: