[freebsd] Нагруженный VPN сервер

[Eugene Grosbein]

07.10.2018 18:37, Anton Saietskii пишет:

> вс, 7 окт. 2018 г. в 14:28, Eugene Grosbein <eugen at grosbein.net>:
>> 07.10.2018 18:21, Anton Saietskii пишет:
>>>> 05.10.2018 21:40, Anton Saietskii пишет:
>>>>> чт, 4 окт. 2018 г. в 20:56, Eugene Grosbein <eugen at grosbein.net>:
>>>>>> Назовите клиента, который не поддерживает l2tp/ipsec с ikev1.
>>>>> Ой, моя мобила так "поддерживает", что один хрен только StrongS/WAN
>>>>> использовать можно, ибо группы DH для PFS больше 1024 не умеет,
>>>>> SHA-256 нормально тоже не умеет (только truncated SHA-256)...
>>>>> Естественно, ещё ни о каком AEAD и речи нет.
>>>> Имеете что-то против StrongS/WAN?
>>> Оно:
>>> 1. Не является частью Android;
>>
>> А зачем ему быть частью Android? Со стороны Android должен быть стандартный IPSEC.
> Во-первых, всё-таки IPsec. ;-)
> Во-вторых, по поводу своей мобилы писал выше и повторюсь:
>> группы DH для PFS больше 1024 не умеет, SHA-256 нормально тоже не умеет (только truncated SHA-256)...

Этих претензий я тоже не понял. Чем плоха группа 1024, мало ест батарею?

>>> 2. Не умеет в "always-on vpn";
>> Что такое "always-on vpn" в контексте IPSEC?
> В контексте ведроида. Это когда траф никакой не ходит, пока туннель не
> поднимется.

И это не понял, к чему эта претензия - к мобиле?

>>> 3. Не умеет в туннели, создающие интерфейсы.
>> На FreeBSD есть интерфейсы if_ipsec(4) для этого, они работают в паре с демоном IKE.
> Только они не умеют в неизвестный адрес другого конца туннеля, в
> отличие от L2TP, например.

Это же динамические интерфейсы, их можно создавать из script phase1_up