>ага отдельная и почти неотделимая для нормального использованияНо изначально предлагалось только средствами ipsec реализовать.
А теперь вдруг выясняется что еще что-то надо.
Вот это еще "что-то" - и основная задача систем класса VipNet.
А набор костылей который вы назвали unix way - весьма слабая отговорка и требующая достаточных вложений в поддержку :)
> при большОм количестве различных сетей и хостов подчиняющихся политике проще использовать
fw mark -- и тогда на каждую подсеть/хост/порт/протокол понадобиться всего одно правило в iptables
Опять закладываетесь на не переносимые хаки. Кто вам сказал что у меня Linux и iptables?
А если BSD? а если MacOS ?
Давайте возьмем класический ipsec из kame - который кроме setkey не знает ;-)
Да и я нефига не админ - о новых веяньях в ipables и запихивании в ipsec вполне могу не знать :) мне можно.
>>> Нету инфрастуктуры сертификатов.
>ваши слова ^^^^^^^^^^^^^^^^^^^^^^^^^
В составе ipsec tools :) мы же о нем говорили? вы притянули Verising с его SSL :-)
Сертификаты бывают не только в SSL.
>а ваше это умеет A/AAчерез EAP? а kerberos? а оно на ("любимой" мне) фряхе робит, а как у вас со стандартными алгоритмами? а мультипоинт может? а...аааа....подожду-ка я ответов
Без понятия - что оно сейчас умеет. Мой последний комит в код VipNet это 2001 или 2000 год.
Не помню уж точно - так что что за 10 лет они сотворили не представляю :-)
Таки закончим, ибо смотреть на этот цирк с конями и попытки оправданий созданию костылей - надоело.