вс, 7 окт. 2018 г. в 15:09, Eugene Grosbein <eu...@grosbein.net>: > > 07.10.2018 18:37, Anton Saietskii пишет: > > > вс, 7 окт. 2018 г. в 14:28, Eugene Grosbein <eu...@grosbein.net>: > >> 07.10.2018 18:21, Anton Saietskii пишет: > >>>> 05.10.2018 21:40, Anton Saietskii пишет: > >>>>> чт, 4 окт. 2018 г. в 20:56, Eugene Grosbein <eu...@grosbein.net>: > >>>>>> Назовите клиента, который не поддерживает l2tp/ipsec с ikev1. > >>>>> Ой, моя мобила так "поддерживает", что один хрен только StrongS/WAN > >>>>> использовать можно, ибо группы DH для PFS больше 1024 не умеет, > >>>>> SHA-256 нормально тоже не умеет (только truncated SHA-256)... > >>>>> Естественно, ещё ни о каком AEAD и речи нет. > >>>> Имеете что-то против StrongS/WAN? > >>> Оно: > >>> 1. Не является частью Android; > >> > >> А зачем ему быть частью Android? Со стороны Android должен быть > >> стандартный IPSEC. > > Во-первых, всё-таки IPsec. ;-) > > Во-вторых, по поводу своей мобилы писал выше и повторюсь: > >> группы DH для PFS больше 1024 не умеет, SHA-256 нормально тоже не умеет > >> (только truncated SHA-256)... > > Этих претензий я тоже не понял. Чем плоха группа 1024, мало ест батарею? Ну почему же плоха? Прекрасна, как и 3DES. *всем_известная_табличка*
> >>> 2. Не умеет в "always-on vpn"; > >> Что такое "always-on vpn" в контексте IPSEC? > > В контексте ведроида. Это когда траф никакой не ходит, пока туннель не > > поднимется. > > И это не понял, к чему эта претензия - к мобиле? Изначально этот сабтред у нас пошёл из-за утверждения, что OpenVPN таки всегда и везде взлетает, и тут я согласен. IPsec я уважаю, конечно, но просто глупо отрицать тот факт, что нет универсального способа настройки, ибо столько разных ciphersuite, и нет какого-нибудь common set настроек. В OpenVPN же ты и правда просто кладёшь конфиг и он просто работает, а версии самого продукта по возможностям на разных платформах равны. > >>> 3. Не умеет в туннели, создающие интерфейсы. > >> На FreeBSD есть интерфейсы if_ipsec(4) для этого, они работают в паре с > >> демоном IKE. > > Только они не умеют в неизвестный адрес другого конца туннеля, в > > отличие от L2TP, например. > Это же динамические интерфейсы, их можно создавать из script phase1_up Не совсем понял, куда пихать скрипт. _______________________________________________ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd