LINUX.ORG.RU
ФорумTalks

IPsec


0

0

Кто-что посоветует из софтверных опенсорсных IPsec шлюзов ? Интересует устойчивость. Пока выбор стоит за *swan/racoon. Целевая платформа debian 2.6.24 x86.

Работа производится по-ходу пьесы, как всегда на субжевых сайтах пишут все типа у нас ништяки. Хотелось поинтересоваться мнением пользовавших - у кого какие грабли случались в реале ?


>у кого какие грабли случались в реале ?

иногда оно падает.

delilen ★☆
()
Ответ на: комментарий от delilen

racoon в качестве клиента к другому шлюзу странноват (хотя может и руки админа), потому и встал вопрос. Фрисван требует патча в ядро, так что есть риск, что обновление потребует рестарта, а там почта/dns/web, причем всесьма пользуемые.

iBliss
() автор топика
Ответ на: комментарий от anonymous

В циске тоже есть сабж. Помоему компания циска его и разработала, не?

Но циска дорого.

delilen ★☆
()
Ответ на: комментарий от anonymous

> Только cisco. Просто работает.

Софтверный, некомеррческий.

Пикса сейчас нет, тем более это колокейшн и переть туда еще одну железку несколько проблематично (по организационным причинам), а требуется здесь и сейчас.

iBliss
() автор топика
Ответ на: комментарий от delilen

> В чем? О_О

С пиксом у него иногда зарудало соединение, но тоннель стоял нормально, и ничего не помогало до тех пор пока из сетки за пиксом не пинганешь сетку за ракуном и тут раз и все забегало. Причины так и не выяснили.

iBliss
() автор топика
Ответ на: комментарий от delilen

> подземный стук, вестимо...

Исключено, у нас с ними симбиоз.

iBliss
() автор топика
Ответ на: комментарий от chocholl

> а это называеться dead peer detection )))

Наверно непонятно описал. Туннель стоит нормально, перекличка между шлюзами идет, но они со своей стороны ничего не видят, стоит нам со своей стороны пингануть хост или инициировать подключение - оппаньки все нормально забегало. Есть подозрения что там что-то дальше ракуны намутили, но проверить возможности нет - не наша епархия, но парень там вроде грамотный сидел.

iBliss
() автор топика
Ответ на: комментарий от iBliss

>Фрисван требует патча в ядро

зато openswan не требует. причем, насколько я помню, и racoon и openswan это просто оболочки вокруг реализации в ядре, так что сравнивать их по устойчивости как-то некорректно.

volh ★★
()
Ответ на: комментарий от iBliss

смотрите SA на двух сторонах в период, когда удаленная сторона затыкается.
ну и конфиги было бы неплохо поглядеть.

chocholl ★★
()
Ответ на: комментарий от chocholl

> смотрите SA на двух сторонах в период, когда удаленная сторона затыкается. ну и конфиги было бы неплохо поглядеть.

Поздновато, они уже на пиксе. Но точно с их стороны, до пикса трафик снимали - обычный штатный туннель.

Пока остановился на ракуне, завтра буду пинать,

iBliss
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Talks