VPN IPsec

[Jacek Osiecki]

On Thu, 21 Apr 2011, Arkadiusz Rdest wrote:

> W dniu 2011-04-21 10:32, Jacek Osiecki pisze:
>>  Ja poległem, próbując ponoć czegoś co jest niemożliwe - czyli by tunele
>>  miały własne adresacje na każdej końcówce...
> w sensie czemu niemozliwe?
> mam zestawione na jednym routerku trzy tunele site-to-site na openswan'ie, do 
> roznych sieci, kazda oczywiscie z inna adresacja. dziala bez problemu.

Ech, źle się wyraziłem :)
Chodziło o to, by po zestawieniu ipsec między dwiema maszynami na obu 
pojawił się dodatkowy interfejs ze swoją adresacją, czyli np. na jednej 
172.16.1.1/30 a na drugiej 172.16.1.2/30 - by potem na nich zestawiać BGP 
i normalnie kierować routing.

>>  W końcu olałem sprawę i zestawiam po prostu openvpn, który jest
>>  pozbawiony całej magii okołokernelowej i po prostu działa.
> ano fakt. tez wole openvpn'a. jakis taki bardziej elastyczny i mniej 
> skomplikowany. bez babrania sie w ipsec'a i jego problemy na NAT'em.

Dokładnie :)

>>  Może nie idealnie, ale działa...
> a mozesz rozwinac? uzywam od wiekow openvpn'a w roznych konfiguracjach 
> (site-to-site, dla userow na certyfikatach, point-to-point na psk) i nie 
> odnotowalem zadnych problemow.

Może inaczej: sam openvpn działa super, zaś różnie bywa z podłączaniem się 
do niego windowsami :) Działa, ale co wersja windows to inne cuda się 
zdarzają...

Nie zmienia to faktu, że openvpn można sobie elegancko puścić choćby po 
porcie 443 TCP i mieć niemalże pewność że żadna krzywda mu się nie stanie. 
Czego nie można powiedzieć o innych cudach...

Pozdrawiam,
-- 
Jacek Osiecki joshua w ceti.pl GG:3828944
I don't want something I need. I want something I want.