| 1.1, Skif (ok), 11:13, 29/11/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Эх, если бы он не был еще и таким "тяжелым" - можно было бы использовать, а так задержки на этом тунеле не детские.
Кстати, я вот прочитал статью и так и не понял, а почему для Linux? Как по мне, то точно так же можно будет сделать и под *BSD и под другими осями куда racoon портирован. | | |
| 1.4, Den (??), 13:30, 29/11/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
оно работает в userspaace и больше чем 10 мегбит вы врядли получите. IPSEC работает в ядре - поэтому меньше грузит проц -> имеет большую проиводительность
Если я не прав приведите свои аргументы. | | |
| |
| 2.6, T1000 (?), 17:35, 29/11/2006 [^] [^^] [^^^] [ответить]
| +/– |
Нормальную производительность и низкую латентность при > 10Мбпс могут обеспечить только аппаратные модули AES или 3DES, в каком бы space'е vpn-концентратор не работал.
Погоняйте голос Г711 в транке хотя бы 20 линий на совтовом vpn + 10Мбпс остального трафика - узнаете. И QoS не поможет. | | |
|
| 1.5, Smile (??), 16:08, 29/11/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
1. Racoon входит в состав ipsec tools - штатный вариант организации автоматического обмена ключами соединения IPSec на всех BSD (если не путаю isakmpd он вытеснил окончательно). Видимо Linux более модное слово...
2. Не в курсе как у Linux, для тех кому "горько надо очень быстро" в FreeBSD есть вариант FastIPSEC. Статистикой по вопросу не владею,но полагаю слово FAST (в совокупностьи с подразумевающимся аппаратным обеспчением) стоит там не зря и решит критичный вопрос. Хотя ИМХО, взяв эту же статью и рисунок из нее, где роадвариор сидит в инете или за инетом, пропускной способности обычного IPSEC подключенния хватит для прозрачной, с точки зрения пользователя, работы. С точки зрения трафика прирост в случае туннелирования = sizeof(IP HEADER). Проседание можно будет пожалуй заметить на слабых CPU (АМД К5 333 работал в ЛВС wifi шлюзом без ощутимых потерь под FreeBSD 5.2.1 и большую проблему создавлял тогда еще сыроватый racoon. Большие файлы гонялись регулярно).
3. Здесь же на opennet уже пару лет лежат ссылки на более концептуально изложенные howto.
| | |
| 1.7, Vladimir (??), 17:48, 29/11/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Давно темой не интересовался, может сейчас вопрос решен. Но раньше Traversal NAT в racoon под FreeBSD,например, не работал. Соответственно, когда сами клиенты находятся за NAT, IPSEC туннель не поднимался. Для подобных решений, имхо, лучше использовать L2TP. | | |
| |
| 2.8, yun (?), 02:18, 30/11/2006 [^] [^^] [^^^] [ответить]
| +/– |
 Уже точно год как работает это дело в линухе - правда в то время патчилось ядро. Сейчас уже мб и ванильное умеет. | | |
| |
| 3.9, llelik (?), 09:29, 30/11/2006 [^] [^^] [^^^] [ответить]
| +/– |
и ванильное умеет и openswan умеет
насчет ракуна в линухе не знаю, в бсд с год в стандартной поставке | | |
|
|
| 1.10, BB (??), 09:46, 30/11/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
В openbsd это решено достаточно давно и без ракуна, штатно в поставке с помощью isakmpd
В версии 4.0 используется ipsecctl | | |
| 1.11, Moralez (??), 12:52, 30/11/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Ракун ведь всего лишь IKE-демон, а кто в BSD будет SA поднимать (которое в /etc/ipsec.conf прописаны)? Может поэтому и написано про linux, что там он обе функции выполняет? :-\
p.s. У меня родной ядерный freebsd-шный ipsec на паре p4-2400 50Мбит выдавал (5мег в секунду)... | | |
| 1.12, Den (??), 14:02, 30/11/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
50 Мбит при каком количестве пакетов в сек - вот когда у вас будет их около 30 тысяч/c то Вы задумаетесь. | | |
|
