Шифрованный туннель HOWTO

"делаем команды" - звучит немного странно, я бы написал "выполняем команды" или "запускаем команды".

Ну и каким это боком относится к Linux'у????

Ну IPsec и на линуксе работает, возможна будет полезна

инфа как настроить киску.

Еще бы в Cisco нормальные IOS'ы с криптованием не зажимали, а то даже устаревшый DES непонятно больших $$$ стоит...

Это их право за какие деньги что продавать.

Есть хардверные криптоускорители, которые могут шифровать трафик.

Фри юниксы их поддерживают.

>Фри юниксы их поддерживают.

Ну ты и ламо! :)) Юникс не может быть фри, он под copyright'ом SCO.

2Shrike (*) (03.11.2003 14:22:42)

> Юникс не может быть фри, он под copyright'ом SCO.

А там есть sysV ?

Сам такой :)

TM Unix владеет Опен Груп.

Саныч, а ну давай ссылку на криптоускорители, поддерживаемые линухом! Я сколько искал, ничего путного не нашел.

А кто говорил про Linux?
HIFN(4) FreeBSD Kernel Interfaces Manual HIFN(4)
NAME
hifn -- Hifn 7751/7951/7811 crypto accelerator

SYNOPSIS
device hifn

DESCRIPTION
The hifn driver supports various cards containing the Hifn 7751, Hifn
7951, or Hifn 7811 chipsets, such as

Invertex AEON No longer being made. Came as 128KB SRAM model, or
2MB DRAM model.

Hifn 7751 Reference board with 512KB SRAM.

PowerCrypt See http://www.powercrypt.com/. Comes with 512KB
SRAM.

XL-Crypt See http://www.powercrypt.com/. Only board based
on 7811 (which is faster than 7751 and has a random
number generator).

NetSec 7751 See http://www.netsec.net/. Supports the most
IPsec sessions, with 1MB SRAM.

Soekris Engineering vpn1201 and vpn1211
See http://www.soekris.com/. Contains a 7951 and
supports symmetric and random number operations.

Да ужж посмотрел бы я на идиота который PC в качестве IPSec концентратора будет использовать. Нафиг-нафиг мне такое счастье. А к Cisco конечно никаких претензий нет, просто ставим теперь не иъ железки а от Nortel :-)

А чего идиотского в использовании IPSEC на Линухе? У нас уже два года межофисная связь на 100Мб шифрется на Линухах (фрисван) и все довольны. Там же на Линухах работает фильтрация пакетов, аккаунтинг и выделение полос пропускания под определенные подсети.
И стоит это решение очень дешево.

a v tom chto v kernel'e ego netu by default... tolko v 2.6 poyavitsya native ipsec.. anyway..

naschet crypto uskoriteley nedavno v mailliste security@freebsd kak raz na etu temu bila diskussiya..

И какое время простоя при этом? Точнее - каким оно станет когда офисов будет не 2 а 32, по всем обласным районам, соседним регионам и странам?

То что работать Linux будет и в таких условиях - это да, но при этом потребует в разы большего обслуживания. факт.

Кстати прикол - в курсе почему на firewall'ах от checkpoint (внутри там Linux) админы пишут - не выключать после пяти минут со времени включения ? :-))))

я так понял не каждая киска такое издевательство над собой выдержит? какую лучше пользовать?

Саныч, спасибо за информацию.

Недавно один админ спрашивал что-то подобное. Я ему посоветую почитать.

А на пионеров не обращай внимание - им лишь бы попошлить.

Ребята, не наезжайте. Да, поддержки в 2.4 кернеле нет, но на сайте Фрисван можно взять пропатченное ядро в рпм-е. Установка ядра занимает 10 сек. Проблемы нет. А насчет того, что как окучить Линухом отдельно взятый регион или страну, не знаю, не пробовал, возможно киска потянет лучше, а Линух будет в ж. Но когда речь идет о только о нескольких удаленных офисах и нужно дешевое решение, то Линух - это то, что надо. Использовал я также и Астаро, тоже работала как часы - перегружал только при проблемах с сетевым питанием.
2 года назад считали деньги - и выбрали Линуховое решение. И до сих пор не жалеем.

> И какое время простоя при этом? Точнее - каким оно станет когда офисов будет не 2 а 32, > по всем обласным районам, соседним регионам и странам?

С чего ты решил, что ВСЕ должны учитывать возможность возникновения региональных объектов? НЕ ВСЕМ нужно учитывать "не 2, а 32"! Бывает - знаешь точно, что более 5 объектов у тебя не будет никогда. При этом все эти объекты находятся в одном городе, и в стратегии развития предприятия отсутсвует понятие о региональных представительствах... Так нафига тогда тратиться на дорогостоящие решения, если есть более дешевые, УДОВЛЕТВОРЯЮЩИЕ ТВОИМ УСЛОВИЯМ?

> То что работать Linux будет и в таких условиях - это да, > но при этом потребует в разы большего обслуживания. факт.

Я конечно знаю о существовании мэнеджеров (имею в виду ИТ-мэнеджеров) которые все "крутые очень", и главная их политика: "скупой платит дважды! Мы всегда приобретаем только самые продвинутые, современные и дорогие решения! С большИм запасом..." И они пытаются доказать всем, что стоимость владения такими решениями является более дешевой, нежели стоимость обслуживания нескольких linux-боксов.

А я думаю, что они таким образом прикрывают свою лень, или бездарность, или еще что-нибудь... Главное для них: "не напрягать мозги, сделаем все по-максимуму, тогда проблем быть не должно."

Есть и другие "извращенцы", которые "решают ВСЕ вопросы нахаляву": дешевое железо + "халявный" opensource software.

И те и другие с красными глазами пытаются доказать свою правоту, забывая о том, что нужна "золотая середина".

И я думаю, что тот кто сумеет найти эту самую середину, и является самым "крутым" мэнеджером/админом/программистом/компьютерщиком... Да как только нас не называют %-)))

С уважением, BlaCat

2anonymous (*) (03.11.2003 19:07:18) aka BlaCat

respect.

золотые слова ;)

Sorry for eng - net russkoi klavi pod rukoi :(

A samoe deshevoe i bistroe (po skorosti ustanovki ) ppp over SSH. U menia daje mldonkey tak hodit i 5 offisov tak soedineni i nichego - vse oche'horosho pashet

> A samoe deshevoe i bistroe (po skorosti ustanovki ) ppp over SSH

PPP over SSH - самое дешёвое, но самое убогое и отнюдь не быстрое. По одной простой причине - туннель через TCP. Очень весело гонять через этот туннель TCP - сессии постоянно обрываются.
Так что лучше OpenVPN, тогда уж, если с IPSec возиться лень. Или CIPE, только оно глюк.

>Я конечно знаю о существовании мэнеджеров (имею в виду ИТ-мэнеджеров) которые все "крутые очень", и главная их политика: "скупой платит дважды! Мы всегда приобретаем только самые продвинутые, современные и дорогие решения! С большИм запасом..." И они пытаются доказать всем, что стоимость владения такими решениями является более дешевой, нежели стоимость обслуживания нескольких linux-боксов.

Паренек, я открою тебе маленький секрет, зарплата админа прямо

пропорциональна стоимости оборудования, которое он держит.

И не стоит рассчитывать на з\п > $0.8k если ты сделаешь все сердито и

дешево, люди тебя просто не поймут.

если такая гулянка санч, то я бы покупал всё дорогое, но сделал бы на линукс, лишние деньги сам догадаешься куда бы пошли, ну а через месяц уволился... так как нечего в такой организации делать...

Ну во первых есть отчетность, и потом создав нормальную

кормушку зачем ее кому-то отдавать?

Саныч, уточни: люди вообще или наши люди?

Люди, бизнес которых, в сильной степени зависит от качества

информационной системы.

У кого-нибудь есть опыт с pipsecd на 2.4.18? У нас на 2.2.22 работает, а на 2.4.18 userlink assert'ы выкидывает.

Казалось бы - при чем тут слакварь? :)

CIPE совсем не глюк.

> Паренек, я открою тебе маленький секрет, зарплата админа прямо
> пропорциональна стоимости оборудования, которое он держит.
> И не стоит рассчитывать на з\п > $0.8k если ты сделаешь все сердито и
> дешево, люди тебя просто не поймут.

Саныч, ты бы до конца мое сообщение прочитал.
Я ни в коем случае не за то, чтобы "дешево и сердито".
И вообще крайностей не люблю.
Во всем нужно уметь найти компромиссное решение.

Я, кстати, один из тех пареньков, которые определяют размер з/п админам.
И делаю это не из расчета стоимости оборудования, а на основании способности сотрудника предложить, реализовать и поддерживать решения, наиболее подходящие к реальным потребностям и условиям.

С уважением,
BlaCat.

aga postoianno :))) - odna sessia derjitsa bolee 60 dnei - perekacheno bolee 110GB :)) hotia soglasen chto OpenVpn luche, prosto mne tak udobnee - vse office za firewall a na ssh vezde porti otkriti..

А как проблемы с законом?
Насколько я знаю на шифрование нужна лицензия, без неё отымеют менты и админа и манагера?