Комментарии 16
Почему OpenSwan, а не, например, нормально обновляющийся Libreswan?
Почему в 2015 вы все еще используете ifconfig и /etc/init.d?
Почему в 2015 вы все еще используете ifconfig и /etc/init.d?
Поддерживаю, незачем плодить туториалы на abandonware. Openswan, насколько мне известно, пилит один человек и делает это изредка (последний коммит в гитхабе — 13 марта).
Есть Strongswan, которым занимается профессор информационной безопасности: www.strongswan.org/about.html и который регулярно дорабатывается, судя по коммитам чуть ли не каждый день.
Есть Libreswan, разработка которого также ведётся довольно живо.
Есть Strongswan, которым занимается профессор информационной безопасности: www.strongswan.org/about.html и который регулярно дорабатывается, судя по коммитам чуть ли не каждый день.
Есть Libreswan, разработка которого также ведётся довольно живо.
К сожалению, в нашей компании не я решаю какой софт использовать. Мне сказали — поднять на openswan, ибо он стоит у всех клиентов и я даже не разбирался в альтернативах, спасибо за подсказку, попробую посмотреть на возможность миграции.
Во втором вопросе не хватает альтернативы, почему ifconfig, а не ".....". Наверно дело привычки, и, к примеру, если вместо /etc/init.d я могу использовать service, но что вместо ifconfig — ума не приложу.
Во втором вопросе не хватает альтернативы, почему ifconfig, а не ".....". Наверно дело привычки, и, к примеру, если вместо /etc/init.d я могу использовать service, но что вместо ifconfig — ума не приложу.
ifconfig уже лет 10 не обновляется, нужно использовать ip. Вот хороший список устаревших команд и их аналогов.
а что такого нельзя посмотреть в ifconfig?
Например, ifconfig показывает только один ip на интерфейсе, а их может быть сколько угодно, особенно IPv6; MAC-адрес в ifconfig ограничен 16 байтами, хотя в некоторых интерфейсах он может быть длиннее; в некоторых случаях не отображает IP удаленной стороны при p2p-подключениях.
Список, чего нельзя сделать через ifconfig, длиннее.
Список, чего нельзя сделать через ifconfig, длиннее.
Я может его не знаю, но алиасы всегда вешал
eth1:1 addr…
ну и т.д. и все показывается прекрасно. Я, может, ретроград, но мне ifconfig нужен в 99% случаев чтобы посмотреть текущие ip и состояние интерфейса — таки он это показывает. Через ip читать удобнее, но я все нкиак не запомню его синтаксис…
eth1:1 addr…
ну и т.д. и все показывается прекрасно. Я, может, ретроград, но мне ifconfig нужен в 99% случаев чтобы посмотреть текущие ip и состояние интерфейса — таки он это показывает. Через ip читать удобнее, но я все нкиак не запомню его синтаксис…
В том и дело, что алиас это не интерфейс. Если вы сделаете:
То через ifconfig увидите только первый адрес, хотя на интерфейсе их будет два. У IPv6 вполне может быть пять адресов на интерфейсе, которые могут добавляться ядром, а не вручную или скриптами, и через ifconfig вы их не увидите.
ip a a 192.168.1.2/24 dev eth0
ip a a 192.168.1.3/24 dev eth0То через ifconfig увидите только первый адрес, хотя на интерфейсе их будет два. У IPv6 вполне может быть пять адресов на интерфейсе, которые могут добавляться ядром, а не вручную или скриптами, и через ifconfig вы их не увидите.
Ни разу не встречался со вторым ip на интерфейсе, который бы при этом не был alias (а зачем?!). IPv6 это в большинстве случаев пока игрушка, я его крутил только на железках, так что привычки тоже не появилось.
Не то, чтобы я был против ip…
Просто мне пока с лихвой хватает традиционных инструментов.
Не то, чтобы я был против ip…
Просто мне пока с лихвой хватает традиционных инструментов.
Ни разу не встречался со вторым ip на интерфейсе, который бы при этом не был aliasНу а я уже не видел алиасы, пожалуй, лет 5.
(а зачем?!)Добавление второго IP через алиас было сделано как раз для того, чтобы обойти ограничения ioctl и ifconfig. Сейчас уже никто не добавляет алиасы только ради дополнительных адресов ни вручную, ни автоматически, т.к. это бессмысленно.
В ArchLinux, например, net-tools (ifconfig, arp, iptunnel, mii-tool, route) не ставится по умолчанию, т.к. все программы этого пакета устарели.
имхо — вторые ip на интерфейсах это либо костыль, либо кривой дизайн сети (я про ipv4). А уж как добавлять — дело вкуса.
То, что старые инструменты убирают из стандартной поставки… хз, мне было бы неудобно — я бы поставил) благо, что в RH, что в Debian люди более консервативные сидят
То, что старые инструменты убирают из стандартной поставки… хз, мне было бы неудобно — я бы поставил) благо, что в RH, что в Debian люди более консервативные сидят
Иметь несколько IP на интерфейсе не слишком повседневная ситуация, но у меня их и три штуки бывало, каждый из которых смотрел в свою подсеть.
А пользоваться инструментами, которые объявлены устаревшими с выходом ядра 2.0, как-то нелепо, но если вы вмещаетесь в их ограничения, то отговаривать вас не буду.
А пользоваться инструментами, которые объявлены устаревшими с выходом ядра 2.0, как-то нелепо, но если вы вмещаетесь в их ограничения, то отговаривать вас не буду.
Когда я начинал пользоваться линуксом, только-только появилось 2.6, но ни о каких ip в мануалах не было и речи. Во фре, опять же — ifconfig и далее по списку. Лет пять назад я таки узнал о существовани ip a и ip route (последнюю действительно удобнее пользовать, чем netstat -rn), но привычка уже сформировалась. Так что да, в ограничения я вписываюсь (тем более что серьезно администрированием linux не занимаюсь).
А несколько подсетей на одном интерфейсе — это зло. Для этого есть вланы (или виртуальные интерфейсы в случае ВМ). Хотя случае бывают разные, иногда от этого никуда не денешься (например в операторской сети)
А несколько подсетей на одном интерфейсе — это зло. Для этого есть вланы (или виртуальные интерфейсы в случае ВМ). Хотя случае бывают разные, иногда от этого никуда не денешься (например в операторской сети)
Во фре, кстати, ifconfig обновляется. В большинстве мануалов был ip уже во времена 2.6.18, я говорю про мануалы дистрибутива, а на от Васяна в интернете.
А несколько IP-адресов использую, например, для отладки чего-то, или чтобы пустить разные программы через разные каналы, но через один интерфейс. В беспроводных сетях что используй vlan, что не используй, разницы с точки зрения безопасности нет.
Я говорю, в основном, о домашнем использовании. Я использую несколько подсетей IPv4 дома.
А несколько IP-адресов использую, например, для отладки чего-то, или чтобы пустить разные программы через разные каналы, но через один интерфейс. В беспроводных сетях что используй vlan, что не используй, разницы с точки зрения безопасности нет.
Я говорю, в основном, о домашнем использовании. Я использую несколько подсетей IPv4 дома.
Я тогда сидел на alt linux — ни слова там не видел про ip. Ну и «от Васяна» были, как же без этого. Уже хотя бы потому, что искать некотрые вещи в официальной документации запаришься.
vlan полезен даже не только с точки зрения безопасности, но и с точки зрения логического разделения сети. Ну а дома использовать — разве что для отладочных целей — в реальных кейсах (например ферма виртуалок или гостевой вайфай) можно прекрасно обойтись без этого.
vlan полезен даже не только с точки зрения безопасности, но и с точки зрения логического разделения сети. Ну а дома использовать — разве что для отладочных целей — в реальных кейсах (например ферма виртуалок или гостевой вайфай) можно прекрасно обойтись без этого.
Подскажите, пожалуйста, где в виндовом ipsec (win2012 или win2016) найти аналог опций leftid, rightid?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Публикации
Настройка OpenSWAN IPsec PSK с использованием NAT Traversal (NAT-T)