Jump to content

gik

Forum Members
  • Content Count

    1
  • Joined

  • Last visited

Everything posted by gik

  1. По поводу аргумента, что есть ipsec. Реальная ситуация такова, что ipsec далеко не везде получается использовать. Однажды рано утром я проснулся. Мне в голову ударило. Свежая мысль, естественно. Решил я сделать всё правильно, и в одной крупной компании сделать туннели в центральный офис из примерно 100 филиалов с помощью ipsec и x509 сертификатов. Заодно и ключевым сотрудникам выдать сертификаты и разрешить из дома подключаться к корпоративной сети. Даже начали покупать недорогие маршрутизаторы с поддержкой ipsec. Но тут начинаются суровые будни. Проблем нет: 1. Офисы в бизнес-центрах, где дорогой и качественный интернет. 2. Москва, квартиры с крупными провайдерами. 3. Регионы, культурные провайдеры. В остальных местах начинается такой зоопарк, что мало не покажется. Есть предприятия в чистом поле, которым интернет дают по WiMAX соседние предприятия. Есть договорённости с физ лицами, что те, через радио-реле из своей квартиры транслируют интернет. Есть провайдеры, наверное, с очень хорошими фотографами, но с плохими администраторами. Есть point-to-point xDSL с кривыми модемами. У всех у них категорическая проблема с ipsec. Выражается она, в основном, в неправильной настройке mtu (когда используются всякие туннели внутри туннелей и все это поверх туннеля), в блокировке icmp трафика, из-за которой невозможно pmtu, в настройки слишком маленького значения mtu (якобы для производительности) в результате которого не помещается сертификат x509 в один пакет и не устанавливается соединение. Короче. Примерно в 30%-40% случаев за МКАД ipsec туннель нам запустить не удалось. Сначала мы аккуратно разговаривали с провайдерами и выполняющими их функции всякими лицами. В некоторых случаях удалось убеждать. Было даже "вот тебе клавиатура, садись, настрой наше оборудование как тебе надо". Затем в очередной раз, когда не было связи из филиала в центральный офис, получили по шее от руководства. Начали делать типовую конфигурацию l2tp поверх ipsec, где нет ipsec тупо его отрубали и оставался хотя бы не криптованный туннель. Потом нашлись провайдеры, которые умудрялись l2tp пакеты присылать в разном порядке, туннель постоянно падал. На такие точки, перекрестясь, прося прощения в демонических и пингвиньих богов, поднимали PPTP. Где-то находились клиенты, которые не поддерживают шифрование MPE, убирали шифрование везде. В результате на сервере был поднят ipsec, l2tp-сервер, pptp сервер. Это совершенно не укладывалось в спокойную жизнь порядочного системного администратора, который всё настроил и спит спокойно. Мы поставили openvpn. Причём через TCP. Я начал высыпаться. Обнаружил, что на улице есть времена года. Трава весной, оказывается не такая зелёная, как осенью. А (sic!) в пищи есть вкус и её можно есть просто за столом болтая с кем-нибудь и ничего при этом не делая и не пялясь в монитор. Вот не надо мне рассказывать, что ipsec спасёт человечество. Может быть потом, но не скоро. OpenVPN очень нужен. Entware-keenetic поставил себе из-за него. Ну и теперь просто приятно делать ssh на роутер и чувствовать себя хозяином
×
×
  • Create New...