LINUX.ORG.RU

История изменений

Исправление Pinkbyte, (текущая версия) :

И почему аутентификация по паролю - норм, а как по ключам - так докажи что ключ хороший и выпущен правильным сервером?

Закрытый ключ генерится на клиенте/сервере и машины не покидает. csr-ы, созданные с использованием закрытого ключа подписываются третье стороной. Если угодно - можно совместить сервер, где лежит CA с одной из сторон IPSEC-соединения.

Вот это неприятно конечно

Видимо раньше никому был не интересен децентрализованный вариант(когда участники VPN-соединения равноправны), IPSEC предполагает классическое развертывание, где есть сервер и клиент. То, что новые(ну как новые, KAME-стеку 100 лет в обед уже) версии по факту могут инициировать соединение с любой стороны - всего-лишь повышенное удобство, идея от этого принципиально не изменилась(в отличие от wireguard где всё было переосмыслено чуть-ли не с нуля)

Update: хотя возможно, я не прав - опыта работы со strongswan у меня только - пара тестовых развертываний: https://wiki.strongswan.org/projects/strongswan/wiki/SecurityRecommendations#...

Исправление Pinkbyte, :

И почему аутентификация по паролю - норм, а как по ключам - так докажи что ключ хороший и выпущен правильным сервером?

Закрытый ключ генерится на клиенте/сервере и машины не покидает. csr-ы, созданные с использованием закрытого ключа подписываются третье стороной. Если угодно - можно совместить сервер, где лежит CA с одной из сторон IPSEC-соединения.

Вот это неприятно конечно

Видимо раньше никому был не интересен децентрализованный вариант(когда участники VPN-соединения равноправны), IPSEC предполагает классическое развертывание, где есть сервер и клиент. То, что новые(ну как новые, KAME-стеку 100 лет в обед уже) версии по факту могут инициировать соединение с любой стороны - всего-лишь повышенное удобство, идея от этого принципиально не изменилась(в отличие от wireguard где всё было переосмыслено чуть-ли не с нуля)

Исходная версия Pinkbyte, :

И почему аутентификация по паролю - норм, а как по ключам - так докажи что ключ хороший и выпущен правильным сервером?

Закрытый ключ генерится на клиенте/сервере и машины не покидает. csr-ы, созданные с использованием закрытого ключа подписываются третье стороной. Если угодно - можно совместить сервер, где лежит CA с одной из сторон IPSEC-соединения.

Вот это неприятно конечно

Видимо раньше никому был не интересен децентрализованный вариант(когда участники VPN-соединения равноправны), IPSEC предполагает классическое развертывание, где есть сервер и клиент.