LINUX.ORG.RU

История изменений

Исправление anc, (текущая версия) :

Все, спасибо, разобрался. Двух туннелей нет, я забыл, что ipsec может в транспортном режиме работать, без туннелирования

Точно разобрались? Потому что ipsec как раз и поднимает туннель. Пример что бы было понятнее. Дано:
Сервер с ip 1.1.1.1, на этом сервере поднят апач на 80-ом порту.
Клиент с ip 2.2.2.2
Если на клиенте выполнить nc 1.1.1.1 80 то данные полетят напрямую в открытом виде.
Теперь поднимаем ipsec тунель(transport) между сервером и клиентом. Выполняем туже команду nc 1.1.1.1 80 и опаньки, данные полетели через тунель.
Вот и с ipsec+l2tp все тоже самое.
Так что вы все правильно написали.

Давайте посмотрим на проблему с другой стороны - зачем тут ipsec? Исключительно для шифрования трафика?

Да. +установка туннеля + авторизация часть первая(для всех, это упрощенно на примере psk)

Ну и pppd сверху - только ради маршрутизации?

Да. + авторизация часть вторая(пользователя)

Вернемся к

«ресурсоемкость»

Насколько больше нагрузка в данном «бутерброде» ? Со стороны камня, большую часть покушает ipsec на шифровании. Памяти покушаем больше. Но если мы запускаем сервер не на «калькуляторе», то соответственно и планируем ресурсы.

Исходная версия anc, :

Все, спасибо, разобрался. Двух туннелей нет, я забыл, что ipsec может в транспортном режиме работать, без туннелирования

Точно разобрались? Потому что ipsec как раз и поднимает туннель. Пример что бы было понятнее. Дано:
Сервер с ip 1.1.1.1, на этом сервере поднят апач на 80-ом порту.
Клиент с ip 2.2.2.2
Если на клиенте выполнить nc 1.1.1.1 80 то данные полетят напрямую в открытом виде.
Теперь поднимаем ipsec тунель(transport) между сервером и клиентом. Выполняем туже команду nc 1.1.1.1 80 и опаньки, данные полетели через тунель.
Вот и с ipsec+l2tp все тоже самое.
Так что вы все правильно написали.

Давайте посмотрим на проблему с другой стороны - зачем тут ipsec? Исключительно для шифрования трафика?

Да. + авторизация часть первая(для всех, это упрощенно на примере psk)

Ну и pppd сверху - только ради маршрутизации?

Да. + авторизация часть вторая(пользователя)

Вернемся к

«ресурсоемкость»

Насколько больше нагрузка в данном «бутерброде» ? Со стороны камня, большую часть покушает ipsec на шифровании. Памяти покушаем больше. Но если мы запускаем сервер не на «калькуляторе», то соответственно и планируем ресурсы.