Чем лучше всего реализовывать ?

Sergey OrlovloginovruЧем лучше всего реализовывать ?
Ipsec

а почему например не openvpn ?

Dimitry Sibiryakovloginovruа почему например не openvpn ?
Потому что openvpn не для этого.


а какая разница на каком уровне шифровать ? ))

Dimitry Sibiryakovloginovruа почему например не openvpn ?
Потому что openvpn не для этого.


да что ты говоришь..))) и для чего же ? )))

bga83loginovruпропущено...


да что ты говоришь..))) и для чего же ? )))
openvpn для создания туннелей, причем туннели не обязательно должны быть шифрованными. А именно шифрование трафика лучше делать с использованием IPSEC

OpenVPN не только для создания туннелей, а можно создавать шифрованные виртуальные интерфейсы....

Sergey Orlovloginovruпропущено...

OpenVPN не только для создания туннелей, а можно создавать шифрованные виртуальные интерфейсы....
Тоннель как раз и создается через этот интерфейс, кстати тоннель можно и не шифровать...

нет, openvpn может работать в 2-х режимах:

TAP эмулирует Ethernet устройство и работает на канальном уровне модели OSI, оперируя кадрами Ethernet.
TUN работает на сетевом уровне, оперируя IP пакетами. TAP используется для создания сетевого моста, тогда как TUN для маршрутизации.

ЗЫ. Так почему же все таки IPSec, а не OpenVPN например для шифрования траффика в сети ? Какие у IPSec плюсы ?

ВМоисеев, нужно)

Если использовать IPSec то чем лучше авторизацию в сети делать ?

Sergey Orlov, чтобы не дать доступ к сети кому попало

Sergey OrlovloginovruSergey Orlov, чтобы не дать доступ к сети кому попало
Вы очевидно не понимаете физики процесса, а так же то, что в винде есть учетные записи локальный компьютер(компьютер в сети) и локальный пользователь(пользователь, прошедший аутенфикацию), и соответственно есть политика на локальный компьютер(если компьютер является частью домена, то она берется с контроллера домена, если домене есть соответствующая политика или политика конкретная на этот комп), которая перекрывается политикой локального пользователя, который прошел процесс аутенфикации...
Вы можете сделать все, что угодно, например до аутенфикации пользователя применить одно шифрование, а после аутенфикации уже другое, требовать доступ к одному компу с одним секретным словом, а к другому вообще с сертификатом...
Очень давно мне пришлось пришлось сделать следующее, обеспечить к компу по сети только тем пользователям, которые имели свои сертификаты на своей флешке, остальным чтобы он и виден не был..

ну скажем, это вы описали если 2 машины созданы на базе винды и есть сервер с active directory, авторизация в сети происходит через контроллер домена, а если например одна из машин linux вторая винда и нету контроллера домена, исходя из этого - является аутентификация сторон IPSec и создание защищенного канала между сторонами, позволяющего начать обмен IKE ? Как это в обычной винде реализовать ?