кто-то вам предъявит что потерял $100500 используя ваш код
Да запросто. Вы просто с такими людьми не сталкивались - сутяжники называются :) Вот простой пример - все знают, что кофе горячий и им можно обжечься. В Пиндосии у некоей тетеньки в руках по какой-то причине расползается бумажный стаканчик и она обжигает руку. Ессно подает в суд и... выигрывает! Потому что на стаканчике не было надписи, что кофе горячий :)
Есть предположение, что policy неверно, если это tunnel, а не transport. В src.address и dst. address в этом случае должны стоять внутренние подсетки. А реальные адреса концов туннеля - на закладке action, в полях sa src address и sa dst address
Отвечу вечером. В настройках тика Local address мне кажется излишним - у меня его нигде нет. И DH группу можно брать послабее - у меня стоит modp1024 - но это все смотрится по логам швана - прошла фаза 2 или нет.
На закладке Installed SAs в колонке Encr должен быть выбранный алгоритм, на закладке Auth - выбранный метод подписи (там может быть none), счетчики в Current Bytes должнеы обновляться, когда пинг проходит. И на закладке Policies в столбце PH2 State если фаза 2 прошла успешно - стоит established
trjflash, Не знаю, как работает GRE, но вот IPSec проходит тик дважды - как впрочем и iptables тоже - первый раз зашифрованный, второй раз расшифрованый. Поэтому фактически для IPSec маршрутизация не нужна - ее заменяет policy. Там главное NAT-ом пакет не поломать :) потому что у IPSec есть контрольная сумма, а после NAT - она сходиться перестает и пакет отбрасывается :)
Примеры есть. Я целую тестовую сеть строил - тик, за которым тачка, центос, за которым тачка.
RigidStyle, Вы теоретическую работу о шифровании в идеальном сферическом мире пишете, да? Без модели нарушителя (без принятия решения - от кого Вы защищаетесь) - все Ваши выкладки - это просто блабла. От абстрактного нарушителя - абстрактная защита. Конкретная защита всегда включает в себя оценку конкретной необходимости защиты. И как правило, чем выше защита - тем она дороже.
Вы чего в этот винрар уперлись? Когда я говорю - нормальное шифрование - это значит как минимум AES-256. Идите, считайте, сколько будете брутить :)
Вы бы сначала модель нарушителя сказали что ли... От соседа-жены-работодателя сгодится и такая защита. От государства. ..Видите ли - паяльник в #опе - очень неприятная вещь...
Владислав Лысков, так смысл был в том, чтобы погрузиться в среду - то есть делать ежедневные действия. Хочешь например, порнушку - изволь узнать, как оно пишется на родном языке ;) и результаты поиска читать придется тоже на нем.
Мне например нормально заходило читать ВН на английском. Причем, на русский перевода просто нет :)
maniac_by, Метод. Не нужно ходить к компу юзера. Подцепился и оболочка сама может поставить клиента, если его нет. Причем, если клиента настроить заранее, его можно поставить в "тихом" режиме - когда юзер не видит, что за ним наблюдают. А если использовать не DMRC, а DMNT - там вообще например можно зашатдаунить комп с сообщением юзеру - я например так тачку ребенку гашу, когда он буракосит и спать не идет...
Да запросто. Вы просто с такими людьми не сталкивались - сутяжники называются :) Вот простой пример - все знают, что кофе горячий и им можно обжечься. В Пиндосии у некоей тетеньки в руках по какой-то причине расползается бумажный стаканчик и она обжигает руку. Ессно подает в суд и... выигрывает! Потому что на стаканчике не было надписи, что кофе горячий :)