[about] [index] [prev] [2020-04-24 22:16:43+03:00] [42b9d411094e7054d0807c8a52dea3ef8b1e9812]
Topics: [ipsec]

Статья про IKEv2 vs OpenVPN

https://habr.com/ru/company/ruvds/blog/498924/
Ох, сколько же ненависти у меня вызывает подобная писанина, приводящая к
мифам и глупостям в головах людей.

    При прочих равных условиях, IKEv2 будет всегда быстрее OpenVPN.

IKEv2 возможно один раз в день, а то и реже, будет отрабатывать. Пофиг
какой handshake быстрее. IKEv2 это handshake, ничего более. Ни байта
сетевого транспортного трафика IKE не шифрует.

    По моим субъективным ощущениям IKEv2 на Windows 10 работает заметно
    отзывчивее чем OpenVPN.

Опять сравнивается IKEv2, вместо IPsec.

    Все современные операционные системы (кроме Android) поддерживают
    IPsec IKEv2 прямо из коробки.

IPsec поддерживают все. IKEv2... GNU/Linux-ы большинство известных мне
дистрибутивов -- нет. FreeBSD -- нет. OpenBSD -- няша, да. Windows, я
слышал что нет, ну может самые распоследние версии.

    Но как клиенту проверить, что подключение не прослушивается, не
    подменяются данные и сервер действительно тот, за кого себя выдает?
    Для этого используются обычные SSL-сертификаты, которые мы привыкли
    использовать для веб-сайтов и HTTPS.

Придираюсь, но это не единственный способ, и далеко не самый безопасный.

    Шаг 2: Установка Strongswan

Если все современные ОС имеют IKEv2 из коробки, то зачем ставить этого
демона то? Ответ очевиден.

    wget https://raw.githubusercontent.com/jawj/IKEv2-setup/master/setup.sh
    chmod u+x setup.sh
    ./setup.sh

Ну, ну, безопасность.

    Не заставляйте своих пользователей устанавливать лишние программы,
    если все необходимое уже есть на их компьютере.

Эээ, вы же сами только что что-то скачали и установили strongswan!

Я очень люблю и IKEv2 и IPsec. И я только IPsec у себя и использую. И
считаю что его стоит использовать. Но, когда нету прямой нормальной
связанности компьютеров (IPv6 с глобальными адресами), то, мягко говоря,
проблематично заставить это всё работать за NAT-ом. Плюс, порог
вхождения в IPsec мир существенно выше. Когда понимаешь что там к чему и
зачем: всё легко и просто и удобно и здорово. Но когда это IPv4, где
нельзя на каждый чих по адресу выделить для задачи... нет, IPsec это ад.

[leave comment]