ipsec и openswan

Пересаживайся на Strongswan, не ошибёшься

А чем libreswan хуже? Почему предпочтение именно в сторону strongswan?

Еще вопрос ко всем.

Если я на одном узле (уже существующем, и не хотелось бы его перенастраивать) оставлю openswan, а на другом (вновь вводимый нод) поставлю libreswan или strongswan, они смогут нормально друг с другом функционировать?

Да, я тоже заметил. Будем StrongSwan осваивать.

Я как раз это собираюсь выяснить…

pascal

Вопрос из серии, а если у меня на одной стороне windows а на другой linux. Все зависит от ваших настроек. Намек понятен?

«если у меня на одной стороне windows а на другой linux», – такое сравнение здесь слабо подходит. Все же еще зависит от согласования сторон. Если у меня на windows и linux стоит клиент одинаковой реализации - то вопросов возникнуть не должно. Здесь же реализации разные, вот и вопрос. Может пробовал кто-нибудь?

Господи, сколько вам рассказывать об одном и том же можно? Вам нужно только согласование параметров не более того. У ipsec слишком много вариативности. Но это не значит что нельзя настроить. Сама проблема чаше возникает когда не знаешь почему сторона A не стыкуется со стороной B. У всех *swan кумарные логи. Это у них исторически.
И ещё немного докину в тему из личного использования.
1. strongswan - racoon
2. какая-то киска - racoon
3. какая-то киска - шинда (пробовал только для теста)
4. strongswan - bb10
5. strongswan - iOS
6. strongswan - шинда
Тут нет разницы, главное что бы обе стороны «подружились». А вариантов очень много.
ЗЫ Но у strongswan есть «историческая проблема». Изменение поведения на новых версиях, бывает что и на старую надо откатиться пока не починят. Хотя последнее время вроде исправились.

Это ты перечислил личный опыт что с чем вязал или что?

Да, то что на текущий момент связывается. Именно на текущий, и только для меня любимого. Все остальные варианты было бы долго перечислять.

Подкинь дельную доку по StrongSwan

На родном сайте отличная документация с примерами.

Для IPsec использовал strongswan, но с месяц как мигрировал на wireguard, который оказался очень годной VPN реализацией.

Тоже в его сторону смотрю. Колеблюсь между libreswan и wireguard. Думаю протестировать обе.

Опять тут сравнивают тёплое с мягким, а туннель с полноценным vpn. этот ваш wireguard уже научился брать пользователей из радиуса? аккаунтить? нет? всё такой же, быстрый-быстрый аж не угнаться - но всего лишь туннель, где на каждого нового пользователя нужно рестартить сервер? Я ни сколько не хочу принижать достоинства wireguard, да, он немного быстрее, некоторых крипторалгоритмов ipsec. но он не_vpn. не надо его сравнивать с vpn

Никто и не говорит что это корпоративное решение. Для себя WG сейчас лучше, иначе IPsec разумеется

но он не_vpn. не надо его сравнивать с vpn

А что же оно тогда? Или аббревиатуру VPN так и не осилили?

оно - туннель. примерно такой же, как GRE/IPIP/STUNNEL/etc. ему сильно не хватает средств управления ключами, пирами, аккаунтинга (возможно, но не обязательно) маршрутизации и фэйловера.

Хотя, надо заметить, тот же cloudflare как-то прокачал его для массового предоставления warp-vpn, но как оно там внутри работает - никто кроме cloudflare не знает.

ну тут на вкус и цвет, вероятно. но даже для себя - ipsec с IKEV2 сейчас есть «искаропки» уже везде, а для WG нужно ставить отдельный клиент.

ipsec с IKEV2 сейчас есть «искаропки» уже везде

На андроидах ЕМНИП не было. Или появилось уже?

Нету, только от некоторых вендоров

хм.. видимо да, в андроидах нету. погорячился.

ему сильно не хватает средств управления ключами, пирами, аккаунтинга (возможно, но не обязательно) маршрутизации и фэйловера

Вот что должно по вашему определению назваться VPN ? Определение давно дано. Вы привязываете кучу плюшек и после этого называете «это не VPN».

Пересел на wireguard. Больше года - полет нормальный.