А что касается безопасности. С сертификатом оно лучше, если пароль у юзера увели(а он у него один на все ресурсы домена), то от попадания внутрь инфраструктуры защитит как раз необходимость увести ещё и сертификат, причём у того же самого юзера.
Согласен, контроль и так есть. Но при аутентификации по файлику с паролем такая возможность есть, опции duplicate-cn и username-as-common-name как раз кажутся из этой истории. Но вот как с ldap быть. В любом случае, спасибо за ваш ответ!
Сергей: ну окей. Mikrotik это лучшее изобретение среди современного сетевого оборудования. Ой, секунду, пойду посмотрю, может теперь подключился? Аннет. Все еще летят ретрансмиты:
Dec 8 15:09:31 csds-23 charon: 01[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500] (156 bytes)
Dec 8 15:09:35 csds-23 charon: 14[IKE] sending retransmit 1 of request message ID 0, seq 1
Dec 8 15:09:35 csds-23 charon: 14[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500] (156 bytes)
Dec 8 15:09:37 csds-23 charon: 02[IKE] sending retransmit 5 of request message ID 0, seq 1
Dec 8 15:09:37 csds-23 charon: 02[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500] (156 bytes)
Dec 8 15:09:37 csds-23 charon: 04[IKE] sending retransmit 4 of request message ID 0, seq 1
Dec 8 15:09:37 csds-23 charon: 04[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500] (156 bytes)
Dec 8 15:09:38 csds-23 charon: 11[IKE] sending retransmit 4 of request message ID 0, seq 1
Dec 8 15:09:38 csds-23 charon: 11[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500] (156 bytes)
Dec 8 15:09:38 csds-23 charon: 09[IKE] sending retransmit 4 of request message ID 0, seq 1
Dec 8 15:09:38 csds-23 charon: 09[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500] (156 bytes)
Dec 8 15:09:42 csds-23 charon: 16[IKE] sending retransmit 2 of request message ID 0, seq 1
Dec 8 15:09:42 csds-23 charon: 16[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500] (156 bytes)
Хотя в одну сторону тоннель создался сразу:
root@csds-23:~# ipsec status
Security Associations (2 up, 0 connecting):
tunnel[2]: ESTABLISHED 2 seconds ago, x.x.x.x.[x.x.x.x]...y.y.y.y[y.y.y.y]
tunnel[1]: CONNECTING, x.x.x.x[%any]...y.y.y.y[%any]
Сергей: у меня не было уроков по сетям. Если б были, я бы тут врядли что-то спрашивать стал.
В чем косорукость и рукожопство с микротиком если часть портов режется провайдером, а переназначить их микротик не дает возможности? Форвардить пакеты с порта на порт прикажете?)
Твердолобость вам не позволяет написать хоть что-то полезное, а теорию я уже давно прошерстил с первых 10 страниц гугла.
Сергей: Вот объясните мне, зачем вы заходите на этот ресурс если в ответах одна болтовня? Ну если не собирались отвечать по делу, зачем тратить время свое и мое и просто флудить про высокие материи виланов?
Maxlinus: не смог поднять vpn туннель к strongswan. Предположительно потому что провайдер зарубил порт. Сменить порт в нем не представляется возможным. Плюс osfp судя по форумам работает из рук вон плохо.
Mihairu: ну скажем так, это будет конечно не идеально, но работать будет даже без кеша в редисе. Просто по тому что у вас это все упадет в кеш БД. Но проще всего сделать кеш в редисе и долбить его хоть 100500 раз в секунду.
нужно было sudo apt-get install software-properties-common python-software-properties