Пожалуй, что и к лучшему. Жаль, что все вышло так, как вышло - но "Если-б покойник зашел с бубей..."(С).
Рабочее, матерноеНа работе закончился двухнедельный ipsec'ас с nme-rvpn от компании s-terra. Сертифицированное, оладушек, решение для построения защищенных по ГОСТ'у туннелей. Очередной BolgenOS red-hat от отечественных бузинесс-ынтырпрайз программиздов.
- Вааау! Мы реализовали отечественные криптоалгоритмы! Для включения пропишите в cisco-like (Наша реализация cisco cli для копипасты с других железок) des, md5, rsa.
- Как так - des, md5, rsa? Вы же реализовали отечественные криптоагоритмы?
- Ну мы эта... вы пишете des, md5, rsa, а мы ав-то-ма-ти-чес-ки меняем их на отечественные, вот! Чтобы вам копипастить проще было!
- А проверить это можно?
- Да что же вы, нам на слово не верите? Гадом буду! Мамой клянус! Зуб даю!
- А вот тут вы в мануале на свой цЫлерон-на-стероидах пишете "мы поддерживаем так же des, md5, rsa, вы можете шифровать одни тоннели гостом, а другие - des'ом", как вы собираетесь их различать? Нет ответа.
GRE-туннель эта убер-хрень самостоятельно поднять не может, routable vti'шку при использовании ipsec в tunnel mode'е тоже не дает - стройте, г-да туннель между маршрутизаторами и заворачивайте его через крипто-модуль, ага. Как это сделать, если физический линк воткнут в роутер, а не в модуль мне лично понятно не очень - как ни кручу, паровоз петля выходит. Напильник не той системы, не иначе. Сделать нешифрованный gre на роутерах и зашифровать его содержимое ipsec'ом в транспортном режиме (Минимальный оверхед по трафику) безопасники не дают - инфа об ip'шниках палится.
Воткнуть линк в модуль можно - но тырнет приходит по vlan'у а с ними интефейс вроде как не работает. Нет, линуксьёвыми средствАми - нивапрос, а вот cisco-like(ТМ) интерфейс таки ой. Более того, nat'ить весь незащищаемый трафик штатными средствами оно ТОЖЕ не умеет, а настраивать ручками iptables низя-низзя, ибо решение должно быть ти-ра-жи-ру-е-мым! Так что iptables у нас голый, без настроек и tcpdump традицьённо показывает многа-многа интересного. А наружу, если чо, кроме sshd еще и всякие quagga'и торчат...
В общем, готовьтесь, робяты - в случае фейла основного канала будет у вас либо защищенный доступ к корпоративным ресурсам, либо - доступ в интернет, на выбор. Выбор этот будет осуществляться путем физического перетыкания кабебля из одной дырки в другую.
А нуида - стоит все это традицьённые 100500 нефти.
-
-
15.11.2012 в 10:53-
-
15.11.2012 в 13:19Ему нельзя.
-
-
15.11.2012 в 15:18Можно конечно на телефон поставить - но номальный клиент искать... мнээээ... ну вы поняли. И сенсорная клава, опять же.
В рабочем порядке разберусь к выходным, думаю.
-
-
16.11.2012 в 11:16Квип наш выбор!
-
-
17.11.2012 в 14:06А он уже научился клиентские сертификаты поддерживать? В том числе и для аунтификации-авторизации? А OTR он могЁт?
Научится - посмотрим, а пока ну иго нафик. Мне моя стартовая страница еще дорога
-
-
18.11.2012 в 14:55Аська?
Для личного общения?
Там и автоминетчика встроенного до сих пор нет, прикинь!