| 1.1, Анончег (?), 00:00, 24/03/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
>> Изменены параметры шифрования, которые strongSwan предлагает по умолчанию. Теперь это симметричное шифрование со 128-битным ключом
Надо же какие строгие лебеди пошли
| | |
| 1.4, 1 (??), 10:45, 24/03/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А тот IPSec - который во бздях - он совсем не открытый ?
| | |
| |
| 2.9, Аноним (-), 18:19, 24/03/2016 [^] [^^] [^^^] [ответить]
| +/– |
В ядре прослойка для прохода ipsec транспорта открыта, для обмена ключами и трафиком можно установить тоже StrongSWAN
| | |
|
| |
| 2.11, h31 (ok), 22:18, 24/03/2016 [^] [^^] [^^^] [ответить]
| +9 +/– |
 Если говорить вообще про IPsec, то плюсы:
- Работает изкоробки в Windows/OS X/Android/etc, не надо ничего ставить.
- В Linux работает очень быстро, почти не грузит процессор. На моем одноплатнике с криптоускорителем тянет 100 мбит/c, при этом загрузка процессора - 5%. Новые Xeon-ы тянут вплоть до 10 гбит/с.
- Поддерживается серьёзными железками от Cisco и ко.
- Шустрый и безопасный AES-GCM (ЕМНИП в OpenVPN его пока что не осилили).
Минусы:
- В случае strongSwan возиться с конфигом. Частично компенсируется тем, что есть куча примеров на оф. сайте, плюс есть плагин для NM, который заводится с полпинка.
- Иногда может хуже проходит через NAT, особенно IKEv1. Работает только поверх UDP.
- Есть две версии протокола (IKEv1 и IKEv2), они настраиваются немного по-разному.
- Немного криво организована маршрутизация. Если глубоко не копаться - особо и не заметно.
| | |
| 2.15, Аноним (-), 08:01, 26/03/2016 [^] [^^] [^^^] [ответить]
| +/– |
Подсказываю, IPSec это расширение протокола IP, т.е. работает он на сетевом уровне OSI-модели. OpenVPN - это сервер прикладного уровня, который использует TLS/SSL, в который он заворачивает пользовательский трафик. Короче, разница между strongswan и openvpn такая же, как между IP и SMTP/HTTP/FTP.
| | |
| |
| 3.18, h31 (ok), 19:36, 26/03/2016 [^] [^^] [^^^] [ответить]
| +/– |
В последнее время ESP обычно заворачивают в UDP. Чуточку меньше пропускной способности, зато в сто раз меньше проблем с файрволлами.
| | |
|
|
| 1.17, Тузя (ok), 12:42, 26/03/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
 Комментаторы выше уже описали различия между openvpn и ipsec. Хочу только добавить, что openvpn бывает еще и вреден когда вы внутри vpn хотите гонять уже зашифрованный траффик. Например, если у вас внутри vpn происходят исключительно SSL/TLS-соединения, то это порождает паразитную криптонагрузку. Тратите мощности и канал для того чтобы зашифровать что-то дважды. То есть если вы используете vpn преимущественно для маршрутизации, то и ipsec, и openvpn могут оказаться вредны. В таком случае есть ipip, GRE и прочее pptp.
| | |
| |
| 2.19, h31 (ok), 19:41, 26/03/2016 [^] [^^] [^^^] [ответить]
| +/– |
Во-первых, это очень редкая ситуация, когда 100% трафика идет поверх TLS.
Во-вторых, GRE не прячем адрес источника и получателя. Такая инфа может выдать злоумышленнику структуру сети.
| | |
|
| 1.20, Аноним (-), 12:32, 01/04/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Народ, кто замерял пропускную способность openvpn vs ipsec, подскажите. Есть шифрованные каналы на openvpn, но деградация пропускной способности на 100 Мб/с на 1-ядерном целероне огромна - канал сужается до 27 Мб/с. Если использовать core2duo, то получается выжать где-то 84 Мб/с. Есть мысль сделать всё на ipsec. Вопрос в том а будет ли ощутимый выигрыш?
| | |
|
