Аналог HP Microserver Gen8 c >6 слотами для HDD

Уже видел — да, красиво, автоматизация особенно понравилась. К слову, у меня тоже микротик дома. Они классные.

У меня они практически везде, только у папы дома старый Zyxel остался, руки никак не дойдут ему новый роутер подарить. Особенно нравится, что IPSec работает как часы даже без статического адреса.

У меня они практически везде

Да тоже, в общем-то.

IPsec

А сервер IKE тоже на микротике? Или тупо общий ключ?

(/me задолбался с багами OpenVPN в RouterOS, хочу переползти на IPsec)

А сервер IKE тоже на микротике? Или тупо общий ключ?

Общий ключ. Не вижу смысла в SOHO чрезмерно заморачиваться. К слову, с новых прошивок IKEv2 поддерживается, мне для облака Azure очень порадовало.

OpenVPN в RouterOS

Полный п-ц. Чем быстрее перекатишься, тем лучше.

хочу переползти на IPsec

А что не модный wireguard? Вполне в стиле btrfs и systemd :}

Да, я знаю, там баги с парсингом ifconfig и route в PUSH_REPLY в клиенте и только TCP. Но IPsec я банально ещё не освоил.

wireguard

routeros

А так я бы с удовольствием. Если бы строил туннель между линуксами.

Но IPsec я банально ещё не освоил.

Он же простой, как три копейки.

А, тьфу, микротики

Он же простой, как три копейки.

Возможно. Просто я думал, что общий ключ — это моветон и нужно обязательно IKE, да ещё и с perfect forward secrecy...

А я правильно понимаю, что компрометация общего ключа позволяет расшифровать всё, что когда-либо передавалось по каналу?

Так-то да, и с маршрутами не нужно заморачиваться (у меня сервер OpenVPN не на роутере, а за NAT'ом).

А я правильно понимаю, что компрометация общего ключа позволяет расшифровать всё, что когда-либо передавалось по каналу?

Сомневаюсь, что все настолько просто. Phase 1, если не ошибаюсь, устанавливается в т.ч. на основе Source и Destination адресов. Да и потом, вы всерьез думаете, что кому-то потребуется расшифровывать ваш IPSec трафик?

Нет. Просто любопытно.

Да, вот еще что, у меня есть аккуратненький сценарий на Mikrotik на случай, если внешний IP динамический. Нужно будет - обращайтесь.

Полагаю, я был прав:

Протокол Oakley — это протокол определения ключа, использующий алгоритм замены ключа Диффи-Хеллмана. Протокол Oakley поддерживает идеальную прямую безопасность (Perfect Forward Secrecy — PFS). Наличие PFS означает невозможность расшифровки всего траффика при компрометации любого ключа в системе.

А в чём там проблема с динамическими адресами?

// вот все вы говорите, что он простой как три копейки, а потом оказывается, что тут с динамическими адресами скрипты писать нужно, там в UDP инкапсулировать нужно, там ещё что-то.

А разве Oakley не является составной частью ISAKMP? Насколько я понимаю, либо PSK, либо IKE со всеми этими фишками...

Oakley Key Determination Protocol

Oakley is used along side ISAKMP, and is now commonly known as IKE (Internet Key Exchange). Basically Oakley is a protocol to carry out the key exchange negotiation process for both peers, in which both ends after being authenticated can agree on secure and secret keying material. Oakley is based on the Diffie-Hellman key algorithm in which two gateways can agree on a key without the need to encrypt.

Да, ты всё-таки прав, статический ключ не отменяет PFS для самих данных.

И да, я таки осилил завести IPsec в топологии «звезда» — тупо средствами самого IPsec'а, в туннельном режиме, без GRE и L2TP.

Ну, я не специалист по IPSec, так, верхов понахватался, рад, что прав. Кстати, тебе не попадалась инструкция, как настроить Route-Based IPSec (тот, который IKEv2 использует)?

Route-Based IPSec (тот, который IKEv2 использует)

Кажется, это о разных вещах. Если я правильно понимаю, «Route-based IPsec» — это так называют IPsec в транспортном режиме поверх другого протокола L3-туннелирования (например, GRE).

Я иногда использую Azure в своих проектах и вот о чем я говорил:

Static routing VPNs – Static routing VPNs are also referred to as policy-based VPNs. Policy-based VPNs encrypt and route packets through an interface based on a customer-defined policy. The policy is usually defined as an access list. Static routing VPNs require a static routing VPN gateway. Note – Multi-Site VPN, VNet to VNet, and Point-to-Site are not supported with static routing VPN gateways. Dynamic routing VPNs – Dynamic routing VPNs are also referred to as route-based VPNs. Route-based VPNs depend on a tunnel interface specifically created for forwarding packets. Any packet arriving on the tunnel interface will be forwarded through the VPN connection. Dynamic routing VPNs require a dynamic routing VPN gateway. Note – A dynamic routing VPN gateway is required for Multi-Site VPN, VNet to VNet, and Point-to-Site.

Да, я говорю про то же самое. Это просто нестандартное название такого подхода, при котором IPsec используется в транспортном режиме, а для IPIP-туннелирования применяется другая подсистема.

Я по этой истории отдельный пост написал, давайте обсудим: Mikrotik и Azure Dynamic routing VPNs

Если кто-то следит — подвезли новые корпуса от U-NAS, с поддержкой материнских плат формфактора Micro-ATX: U-NAS NSC-810A. Это означает, что туда можно воткнуть нормальную Supermicro X11SAE-M, в которой хотя бы есть слот M.2 и достаточно разъёмов для вентиляторов.

Извиняюсь за некропост, но интересно узнать, на чем в итоге остановился, и что вышло по деньгам?

Но ведь тупо дешевле докупать микросерверы?

Не некропост. Ещё ничего не вышло — у меня в жизни случились разные вещи и (я же студент-нищеброд) мне пришлось потратить деньги, преаллоцированные на сабж. Но текущее предположение в хедпосте и в предыдущем (над твоим) сообщении актуально.

Я хочу одну железку.

Я так хотел DELL 720xd :)
Но понял, что или микросерверы, или «хотеть» )))

Ну нет. Две железки сложнее мейнтейнить. Плюс когда я решу докинуть пятый диск, мне придётся докидывать его без избыточности. И две ФС вместо одной — неудобно («так, а где у меня лежит этот конкретный торрент/бэкап/etc?»).