W dniu niedziela, 29 kwietnia 2018 11:18:00 UTC-5 użytkownik Mateusz Viste napisał:
> On Sun, 29 Apr 2018 07:56:40 -0700, sczygiel wrote:
> > Chyba ma, nie badalem na tyle dokladnie aby miec potrzebe dlubania. Mi
> > wystarczy ze dziala i z tego co piszesz jest prostsze niz Twoje
> > rozwiazanie.
>
> Pytanie było czysto retoryczne, z subtelną (zbyt subtelną chyba, bo nie
> została zauważona) ironią :) Piłem do twoich poprzednich żalów o mnogość
> standardów (link xkcd).
>
> Mamy od niemal 25 lat standard określający protokół do bezpiecznego
> przesyłania pakietów IP (IPsec), do negocjacji kluczy (IKE) czy też do
> przesyłania dostępności tras (BGP). Wszystko to udokumentowane w formie
> RFC i opublikowane przez IETF. Wszelakich implementacji też nie brakuje.
> A jednak ludzie wolą kombinować z wynalazkami typu openvpn. Być może
> dlatego że łatwiejszy do wdrożenia, ale to wcale nie z racji użytych
> protokołów.
>

No wlasnie praktycznie to openvpn jest prostszy. Moze rozwiazanie IPsec jest starsze
ale w uzyciu mniej przyjazne. I jakos wychodzi ze openvpn jest czesciej wybierany
przez zwyklego admina.

<anegdotyczny dowod mode on>
znam wielokrotnie wiecej implementacji openvpn niz IPsec.
<anegdotyczny dowod mode off>

Co z tego ze IPsec ladniejszy, lepszy, bardziej standardowy skoro prosciej i rownie
skutecznie uzyc openvpn?

Pewnie to kolejny potencjalny flejm w tym watku :)

> > Generalnie najbardziej mi sie podoba w tym to ze mozna miedzy
> > nat-owanymi serwerami wykonywac polaczenia jak w LAN-ie. I calosc jest
> > przejrzysta a przy tym relatywnie bezpieczna. Plus kazdy user ma swojego
> > certyfikata/klucza. Latwo sie wtedy userami zarzadza bo mozna zablokowac
> > albo wogole wydac certyfikat tylko na miesiac...
>
> Dokładnie to samo można dokonać za pomocą IPSec z uwierzytelnieniem x509.
> Ale faktycznie - trzeba trochę bardziej pokombinować bo nikomu nie
> chciało się stworzyć do tego wizarda.
>
> Czy to postęp?
>
>

Z punktu widzenia kogos takiego jak ja? Openvpn jest lepszy. Bo mniej komponentow,
mniej nauki aby miec pozadany efekt. A rezultat rownie dobry.
Dla kogos innego moze byc lepiej co innego uzyc.

Rezultat jest dwojaki:
-z jednej strony jest wybor i mozliwosc uzycia tego co nam bardziej pasuje
-z drugiej strony jak mamy do czynienia z dwoma rozwiazaniami ktore trzeba polaczyc
to pojawiaja sie problemy i techniczne i personalne.

Taki urok. IMHO lepszy wybor i konkurencja niz monopol i stagnacja. Choc w obu
przypadkach mozna miec fajnie lub niefajnie...

W sumie to nie wiem jak wyglada kompatybilnosci stabilnosc rozwiazan vpn-owych
oferowanych przez glownych graczy (cisco, juniper, citrix itp.). W czasie kiedy
wybieralem jak zrobic to co mialem do zrobienia tutoriale openvpn byly sporo prostsze
niz te IPsecowe.