https://www.opennet.me/openforum/vsluhforumID3/36091.html В статье "Racoon Roadwarrior Configuration (http://www.howtoforge.com/racoon_roadwarrior_vpn)" продемонстрирована настройка Racoon (http://ipsec-tools.sourceforge.net/) для организации IPSec туннелей для клиентов с динамическими IP.<br><br>URL: http://www.howtoforge.com/racoon_roadwarrior_vpn<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=9038<br> https://www.opennet.me/openforum/vsluhforumID3/36091.html#12 Thu, 30 Nov 2006 11:02:24 GMT 50 Мбит при каком количестве пакетов в сек - вот когда у вас будет их около 30 тысяч/c то Вы задумаетесь. https://www.opennet.me/openforum/vsluhforumID3/36091.html#11 Thu, 30 Nov 2006 09:52:17 GMT Ракун ведь всего лишь IKE-демон, а кто в BSD будет SA поднимать (которое в /etc/ipsec.conf прописаны)? Может поэтому и написано про linux, что там он обе функции выполняет? :-\<br><br>p.s. У меня родной ядерный freebsd-шный ipsec на паре p4-2400 50Мбит выдавал (5мег в секунду)... https://www.opennet.me/openforum/vsluhforumID3/36091.html#10 Thu, 30 Nov 2006 06:46:01 GMT В openbsd это решено достаточно давно и без ракуна, штатно в поставке с помощью isakmpd<br>В версии 4.0 используется ipsecctl https://www.opennet.me/openforum/vsluhforumID3/36091.html#9 Thu, 30 Nov 2006 06:29:44 GMT и ванильное умеет и openswan умеет<br>насчет ракуна в линухе не знаю, в бсд с год в стандартной поставке https://www.opennet.me/openforum/vsluhforumID3/36091.html#8 Wed, 29 Nov 2006 23:18:56 GMT Уже точно год как работает это дело в линухе - правда в то время патчилось ядро. Сейчас уже мб и ванильное умеет. https://www.opennet.me/openforum/vsluhforumID3/36091.html#7 Wed, 29 Nov 2006 14:48:39 GMT Давно темой не интересовался, может сейчас вопрос решен. Но раньше Traversal NAT в racoon под FreeBSD,например, не работал. Соответственно, когда сами клиенты находятся за NAT, IPSEC туннель не поднимался. Для подобных решений, имхо, лучше использовать L2TP. https://www.opennet.me/openforum/vsluhforumID3/36091.html#6 Wed, 29 Nov 2006 14:35:25 GMT Нормальную производительность и низкую латентность при &gt; 10Мбпс могут обеспечить только аппаратные модули AES или 3DES, в каком бы space'е vpn-концентратор не работал.<br>Погоняйте голос Г711 в транке хотя бы 20 линий на совтовом vpn + 10Мбпс остального трафика - узнаете. И QoS не поможет. https://www.opennet.me/openforum/vsluhforumID3/36091.html#5 Wed, 29 Nov 2006 13:08:29 GMT 1. Racoon входит в состав ipsec tools - штатный вариант организации автоматического обмена ключами соединения IPSec на всех BSD (если не путаю isakmpd он вытеснил окончательно). Видимо Linux более модное слово...<br>2. Не в курсе как у Linux, для тех кому "горько надо очень быстро" в FreeBSD есть вариант FastIPSEC. Статистикой по вопросу не владею,но полагаю слово FAST (в совокупностьи с подразумевающимся аппаратным обеспчением) стоит там не зря и решит критичный вопрос. Хотя ИМХО, взяв эту же статью и рисунок из нее, где роадвариор сидит в инете или за инетом, пропускной способности обычного IPSEC подключенния хватит для прозрачной, с точки зрения пользователя, работы. С точки зрения трафика прирост в случае туннелирования = sizeof(IP HEADER). Проседание можно будет пожалуй заметить на слабых CPU (АМД К5 333 работал в ЛВС wifi шлюзом без ощутимых потерь под FreeBSD 5.2.1 и большую проблему создавлял тогда еще сыроватый racoon. Большие файлы гонялись регулярно).<br>3. Здесь же на opennet уже пару лет лежат ссылки https://www.opennet.me/openforum/vsluhforumID3/36091.html#4 Wed, 29 Nov 2006 10:30:14 GMT оно работает в userspaace и больше чем 10 мегбит вы врядли получите. IPSEC работает в ядре - поэтому меньше грузит проц -&gt; имеет большую проиводительность<br>Если я не прав приведите свои аргументы.