* [Sysadmins] ipsec vs. tc
@ 2006-03-20 9:56 Peter V. Saveliev
2006-03-20 11:02 ` Maxim Tyurin
0 siblings, 1 reply; 7+ messages in thread
From: Peter V. Saveliev @ 2006-03-20 9:56 UTC (permalink / raw)
To: sysadmins
...
Есть вопрос: кто-нибудь тут имеет опыт селективной
работы с траффиком, идущим через транспортный ipsec?
Поднял racoon с psk, как описано в lartc, доволен
как слон, но есть одна проблема: tc filters (u32 по
портам) на этом траффике вообще не работают, как там
с iptables ещё не смотрел, но, чувствую, то же
самое -- ведь в сети только arp, ah и esp, и баста.
Бесполезный теперь tcpdump :) я согласен принести в
жертву, но сортировка траффика по портам, а не только
по адресам, для меня до сих пор была жизненно важна.
Отказаться от ipsec тоже не могу, т.к. траффик идёт
через wifi, тут просто выбора нет. Железному
шЫфрованию не доверяю, да и излишне нагружать и без
того убитый dlink не охота, производительность у него
оказалась стремящейся к нулю.
У кого какие мысли?
--
Peter V. Saveliev
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] ipsec vs. tc
2006-03-20 9:56 [Sysadmins] ipsec vs. tc Peter V. Saveliev
@ 2006-03-20 11:02 ` Maxim Tyurin
2006-03-20 11:19 ` Peter V. Saveliev
2006-03-26 18:24 ` Marat Khayrullin
0 siblings, 2 replies; 7+ messages in thread
From: Maxim Tyurin @ 2006-03-20 11:02 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Peter V. Saveliev writes:
> ...
>
> Есть вопрос: кто-нибудь тут имеет опыт селективной
> работы с траффиком, идущим через транспортный ipsec?
>
> Поднял racoon с psk, как описано в lartc, доволен
> как слон, но есть одна проблема: tc filters (u32 по
> портам) на этом траффике вообще не работают, как там
> с iptables ещё не смотрел, но, чувствую, то же
> самое -- ведь в сети только arp, ah и esp, и баста.
> Бесполезный теперь tcpdump :) я согласен принести в
> жертву, но сортировка траффика по портам, а не только
> по адресам, для меня до сих пор была жизненно важна.
>
> Отказаться от ipsec тоже не могу, т.к. траффик идёт
> через wifi, тут просто выбора нет. Железному
> шЫфрованию не доверяю, да и излишне нагружать и без
> того убитый dlink не охота, производительность у него
> оказалась стремящейся к нулю.
>
> У кого какие мысли?
Переходить на ipsec который предоставляет ipsec устройство.
На openswan c KLIPS патчем.
tcpdump точно работает. tc тоже.
Если тебе нужен для 2.6.x ядра то я могу собрать новый openswan (а ты
его нормально протестируешь ;)
/me пока ядру 2.6 не доверяет
--
With Best Regards, Maxim Tyurin
JID: MrKooll@jabber.pibhe.com
___
/ _ )__ _____ ___ ____ _______ _____
/ _ / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/ \_,_/___/
/___/
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] ipsec vs. tc
2006-03-20 11:02 ` Maxim Tyurin
@ 2006-03-20 11:19 ` Peter V. Saveliev
2006-03-20 11:58 ` Maxim Tyurin
2006-03-26 18:24 ` Marat Khayrullin
1 sibling, 1 reply; 7+ messages in thread
From: Peter V. Saveliev @ 2006-03-20 11:19 UTC (permalink / raw)
To: ALT� Linux� sysadmin� discuss�
<skip />
> Переходить на ipsec который предоставляет ipsec устройство.
это туннели точка-точка? У меня таких точек -- от
ipsec-устройств в глазах рябить будет :) Или я не
так понимаю?
> На openswan c KLIPS патчем.
> tcpdump точно работает. tc тоже.
>
> Если тебе нужен для 2.6.x ядра то я могу собрать новый
> openswan (а ты его нормально протестируешь ;)
да, мне 2.6 -- 2.4 не могу использовать по ряду причин,
хотя и рад бы. Протестировать попробую, а там уж как
получится :)
>
> /me пока ядру 2.6 не доверяет
выбора нет, увы. Переходить на plan у меня пока в планах
не стоит, прошу прощения за каламбур :)
<skip />
--
Peter V. Saveliev
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] ipsec vs. tc
2006-03-20 11:19 ` Peter V. Saveliev
@ 2006-03-20 11:58 ` Maxim Tyurin
2006-03-20 13:37 ` Peter V. Saveliev
0 siblings, 1 reply; 7+ messages in thread
From: Maxim Tyurin @ 2006-03-20 11:58 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Peter V. Saveliev writes:
> <skip />
>> Переходить на ipsec который предоставляет ipsec устройство.
>
> это туннели точка-точка? У меня таких точек -- от
> ipsec-устройств в глазах рябить будет :) Или я не
> так понимаю?
Как хотишь. Если надо точка-точка, если надо сеть-сеть.
Можно точка-сеть.
>> На openswan c KLIPS патчем.
>> tcpdump точно работает. tc тоже.
>>
>> Если тебе нужен для 2.6.x ядра то я могу собрать новый
>> openswan (а ты его нормально протестируешь ;)
>
> да, мне 2.6 -- 2.4 не могу использовать по ряду причин,
> хотя и рад бы. Протестировать попробую, а там уж как
> получится :)
>
>>
>> /me пока ядру 2.6 не доверяет
>
> выбора нет, увы. Переходить на plan у меня пока в планах
> не стоит, прошу прощения за каламбур :)
--
With Best Regards, Maxim Tyurin
JID: MrKooll@jabber.pibhe.com
___
/ _ )__ _____ ___ ____ _______ _____
/ _ / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/ \_,_/___/
/___/
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] ipsec vs. tc
2006-03-20 11:58 ` Maxim Tyurin
@ 2006-03-20 13:37 ` Peter V. Saveliev
2006-03-20 14:50 ` Maxim Tyurin
0 siblings, 1 reply; 7+ messages in thread
From: Peter V. Saveliev @ 2006-03-20 13:37 UTC (permalink / raw)
To: ALT� Linux� sysadmin� discuss�
<skip />
> Как хотишь. Если надо точка-точка, если надо сеть-сеть.
> Можно точка-сеть.
О! Дайте две. Когда можно будет тестировать?
ЗЫ: а на workstation ядрах это будет работать? Чтоп не
лишать ноутбуки засыпания.
<skip />
--
Peter V. Saveliev
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] ipsec vs. tc
2006-03-20 13:37 ` Peter V. Saveliev
@ 2006-03-20 14:50 ` Maxim Tyurin
0 siblings, 0 replies; 7+ messages in thread
From: Maxim Tyurin @ 2006-03-20 14:50 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Peter V. Saveliev writes:
> <skip />
>> Как хотишь. Если надо точка-точка, если надо сеть-сеть.
>> Можно точка-сеть.
>
> О! Дайте две. Когда можно будет тестировать?
>
> ЗЫ: а на workstation ядрах это будет работать? Чтоп не
> лишать ноутбуки засыпания.
Сейчас буду пробовать (если dist-upgrade не отправит мой комп в страну
мертвых пингвинов).
Постараюсь и для workstation собрать.
--
With Best Regards, Maxim Tyurin
JID: MrKooll@jabber.pibhe.com
___
/ _ )__ _____ ___ ____ _______ _____
/ _ / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/ \_,_/___/
/___/
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] ipsec vs. tc
2006-03-20 11:02 ` Maxim Tyurin
2006-03-20 11:19 ` Peter V. Saveliev
@ 2006-03-26 18:24 ` Marat Khayrullin
1 sibling, 0 replies; 7+ messages in thread
From: Marat Khayrullin @ 2006-03-26 18:24 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Maxim Tyurin пишет:
> Peter V. Saveliev writes:
>
> Если тебе нужен для 2.6.x ядра то я могу собрать новый openswan (а ты
> его нормально протестируешь ;)
>
Помогу протестировать на компакте30 с 2.6 ядром.
Только предупредите,когда будет готово.
^ permalink raw reply [flat|nested] 7+ messages in thread
end of thread, other threads:[~2006-03-26 18:24 UTC | newest]
Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2006-03-20 9:56 [Sysadmins] ipsec vs. tc Peter V. Saveliev
2006-03-20 11:02 ` Maxim Tyurin
2006-03-20 11:19 ` Peter V. Saveliev
2006-03-20 11:58 ` Maxim Tyurin
2006-03-20 13:37 ` Peter V. Saveliev
2006-03-20 14:50 ` Maxim Tyurin
2006-03-26 18:24 ` Marat Khayrullin
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git