[freebsd] Нагруженный VPN сервер

Anton Saietskii vsasjason at gmail.com
Wed Oct 10 18:52:41 EEST 2018 

вс, 7 окт. 2018 г. в 15:09, Eugene Grosbein <eugen at grosbein.net>:
>
> 07.10.2018 18:37, Anton Saietskii пишет:
>
> > вс, 7 окт. 2018 г. в 14:28, Eugene Grosbein <eugen at grosbein.net>:
> >> 07.10.2018 18:21, Anton Saietskii пишет:
> >>>> 05.10.2018 21:40, Anton Saietskii пишет:
> >>>>> чт, 4 окт. 2018 г. в 20:56, Eugene Grosbein <eugen at grosbein.net>:
> >>>>>> Назовите клиента, который не поддерживает l2tp/ipsec с ikev1.
> >>>>> Ой, моя мобила так "поддерживает", что один хрен только StrongS/WAN
> >>>>> использовать можно, ибо группы DH для PFS больше 1024 не умеет,
> >>>>> SHA-256 нормально тоже не умеет (только truncated SHA-256)...
> >>>>> Естественно, ещё ни о каком AEAD и речи нет.
> >>>> Имеете что-то против StrongS/WAN?
> >>> Оно:
> >>> 1. Не является частью Android;
> >>
> >> А зачем ему быть частью Android? Со стороны Android должен быть стандартный IPSEC.
> > Во-первых, всё-таки IPsec. ;-)
> > Во-вторых, по поводу своей мобилы писал выше и повторюсь:
> >> группы DH для PFS больше 1024 не умеет, SHA-256 нормально тоже не умеет (только truncated SHA-256)...
>
> Этих претензий я тоже не понял. Чем плоха группа 1024, мало ест батарею?
Ну почему же плоха? Прекрасна, как и 3DES. *всем_известная_табличка*

> >>> 2. Не умеет в "always-on vpn";
> >> Что такое "always-on vpn" в контексте IPSEC?
> > В контексте ведроида. Это когда траф никакой не ходит, пока туннель не
> > поднимется.
>
> И это не понял, к чему эта претензия - к мобиле?
Изначально этот сабтред у нас пошёл из-за утверждения, что OpenVPN
таки всегда и везде взлетает, и тут я согласен. IPsec я уважаю,
конечно, но просто глупо отрицать тот факт, что нет универсального
способа настройки, ибо столько разных ciphersuite, и нет какого-нибудь
common set настроек. В OpenVPN же ты и правда просто кладёшь конфиг и
он просто работает, а версии самого продукта по возможностям на разных
платформах равны.

> >>> 3. Не умеет в туннели, создающие интерфейсы.
> >> На FreeBSD есть интерфейсы if_ipsec(4) для этого, они работают в паре с демоном IKE.
> > Только они не умеют в неизвестный адрес другого конца туннеля, в
> > отличие от L2TP, например.
> Это же динамические интерфейсы, их можно создавать из script phase1_up
Не совсем понял, куда пихать скрипт.

More information about the freebsd mailing list