Като те гледам... както да ти кажа. Яко изпростяване с елементи на вулгарност. Всеки тинейджър с недоистискани пъпки знае, че NAT и IPsec са две несъвместими неща. Основната цел на протокола IPsec е да удостовери източника на пакета. При това удостоверяването засяга часта на заглавната част на пакета, в която се намира едно поле (вземи си го татуирай, че да си спомняш за това като е нужно), което се нарича SRC и представя IP адреса на машината, чиито IP стек е генериал пакета. Това е точно целта на AH протокола (един от двата реализационни подпротокола на IPsec). Иска се съвсем малко мозък за да се разбере, че няма как да реализираш NAT и да имаш AH. Причината е, че при NAT променяш стойността на полето SRC. И това не е недостатък на IPsec. Това е принципно противоречие между AH протокола и NAT схемите.
В рамките на протокола IPsec има начин за реализиране на връзка през NAT. Това, че ти не си чувал за този начин (такъв ти е явно манталитета - с малко думи да казваш много глупости), изобщо не значи, че такъв няма. Дори го има в твоя Linux (ако изобщо ползваш такава операционна система), стига ядрото ти да е 2.6. Схемата на преминаване през NAT се нарича "NAT traversal". Реализира се от почти всички модерни IPsec приложения, в това число и от вградената IPsec поддръжка в Linux ядра 2.6. На кратко казано използва се втория реализационен подпротокол на IPsec, който се нарича ESP. Искало се е само да попрочетеш. Да, и да не четеш статии от преди 6 години. Нещата се развиват. При това доста бързо. Освен това интензивното използване на NAT ще отпадне при масовото навлизане на IPv6 поради огромния размер на IP пространството във версия 6. Тук идва и мястото на AH протокола. Дори в IPv6 е предвидено да се използв основно AH без участие на ESP за да може само да се удостоверява източника на пакета, без да е задължитено криптирането на data частта. Не знам дали с твоя интелект ще го разбереш, но IPsec е ИНТЕГРАЛЕН компонент на IPv6.
Ето ти е едно доста илюстровано документче, пък дано помогне в твоя случай, че после да не се налага да четем глупости:
http://docs.hp.com/en/J4256-90009/ch01s...
В това отношение един от най-добрите документи, който е и отдавана чакан от системните администратори на маршрутизатори, които използват OSPFv3 е този:
http://www.ietf.org/proceedings/04aug/I...
Всъщност не случайно авторите са от концерна Nokia. Тези неща от документа вече се използват в големите телекоми (от 2 години вече). Има подобни документи и за RIPng.
Никой не казва, че IPsec е съвършеното решение, но това е продукт на общността, а не на някаква малка група хора, подобна на секта. И този продукт стига до там, до където обществото го е докарало след дискусия. Много много жалко, че има хора като теб, които не могат да проумеят такива неща и "лежат под Москвича" по цял ден да се занимават с нестандартни решения. Какво ли да кажа за това, че SSL базираните VPN решения въртят по-долен слой през по-горен и генерират локални натоварвания на ядрата само от въртене на пакети между OSI слоевете. И да ти го кажа, няма да го разбереш. Само ще пиша за този дето клати клоните. Ако ти сметна колко процесорни цикъла правиш в повече за повтарящи се операции, едва ли ще осмислиш този факт. За това и ще ти спестя числоманията.
Всъщност... защо ли те ограмотявам. Би трябвало да ти искам пари за това. Гледай сега. Аз нямам нищо против да си технически неграмотен. Както се казва, не си длъжен да знаеш всичко. Обаче не ходи да приказваш простотии по форуми и да си слагаш ореоли на техничар и да четеш 5-6 статии на кръст и да клеймиш решения, които дори не познаваш. Мога да ти напиша книга за използването на OpenVPN и познавам това решение от 2 години. Много добре знам за какво иде реч и мога да ти спретна такъв спор на тема "конфигурация и реализация", че да се препотяваш през няколко минути. Аз обаче не виждам никакви реални знания в теб, освен цитати (при това от доста стари статии). Следователно не може твоето мнение да тежи. След като не знаеш, че от години вече, има "NAT traversal", какви знания реално имаш ти и какъв спор изобщо водим? Че ти един поглед върху ядрото на Линукс не си хвърлил, да видиш аджеба какво има в него, а си тръгнал да казваш на хората какво решение за сигурен транспорт е по-добрo. Я вземи се стегни и преди да пишеш нещо чети, ама малко по-задълбочено, ако може.
Редактиран на: 4-10-2005@16:22
|