*********
"NAT traversal" е наистина нещо ново за мен, но не и по света. Когато четох за IPSec, нямаше нищо такова.
*********
Тази крилата мисъл (в нея нама никаква мисъл, но не бива в директен стил да ти се заявява, че си простак), ще си я запишем някъде. Ти да не би да си журналист? Все си мислех, че ще прочетеш traversal като травестит и така ще го напишеш, но явно копирането на текст те е спасило:)
Какво да ти кажа... В теб има толкова допубертетна фрустрация, такова желание да покажеш детинската си идиотия, че се чудя как изобщо живееш в мир със себе си.
Има един стил на лозунги, който беше характерен за миналото, но понякога звучи доста съвременно:
"IPv6 - враг на всеки полу и пълен идиот"
Има и още един. Много приляга в твоя случай:
"На борба с e-идиотите".
И не се безпокой за студентите и за това, което мислят те за мен. Можеш спокойно да ги попиташ за това, което искаш да разбереш. Не мисля, че ще останеш доста разочарован от това, колко си заблуден.
Всеки полуидиот би разбрал по същество обяснената от мен (само принципно) NAT traversal схема. Написаното от мен си е напълно по същество. В NAT траверсал не се използва AH. Другият подпротокол на IPsec, който се нарича ESP обаче работи. Толкова ли е трудно да се разбере? Просто в този момент (когато AH престане да се използва, за да се преминава през NAT), вече няма класическата IPsec схема, в която се удостоверява източника на пакета, а само се криптира и удостоверява съдържанието. Мисля си, че ако го обясня на някоя продавачка на цветно бельо с мургав тен на Женския пазар, тя ще открие разликата и смисъла. Какво ли остава за хора с претенции, а?
Освен това, хайде да бъдем великодушни към такива житейски драми като твоята, IPsec е протокол, който може да "гаси" дистрибутирани DoS атаки (DDoS). Тази му функция е използваема само, ако се използва протокола AH. Такова нещо в OpenVPN няма, защото той не се грижи за проверка на източника, а само за проверка на идентичността на този, който е подписал пакета. Ако и това не ти звучи по същество, ще основен фонд за лечението ти.
Самият IPsec позволява да се градят "достоверни мрежи". В тях изобщо не е задължително за се криптира трафика и да се тунелират слоеве (въпреки, че може). Цялата тази идея е залегнала в повечето военни и банкови мрежи. Това нещо OpenVPN не го може. Прибавям още 50 лева в лечителския ти фонд, ако не успееш да осмислиш това.
Модерните IPsec приложения имат на нива по-добра валидация на X.509 сертификатите от тази в OpenVPN. В IPsec имаш пълна LDAP интеграция относно проверка в CRL листи за отменени сертификати. Имаш и OCSP клиент, заложеш вече като дефакто стандарт. Това в OpenVPN го нямаш. Ако си глупак, ще кажеш "ама за какво ми е това". Отговор на тъп въпрос по принцип не се дава.
Още по същество. IPsec е интегрална част от Linux ядра 2.6. OpenVPN е приложение. Интеграцията на IPsec в ядрата е далеч по-оптимална като натоварване и е интегрирана в IP стека. IPsec може да използва директно модулните реализации на криптографските и хеш алгоритмите в самото ядро. Това е оптимално като натоварване. Още 50 лева прибавям за лечението ти.
Ти, като всеки самоуверен глупак, ще си кажеш и какво от това. Ако не успееш да осмислиш тези неща и не видиш същественото в тях, слагай самун хляб в торбата, обувай гумените цървули, нарамвай мотиката и започвай да се занимаваш с по-присъща за теб дейност.
|