Все чаще посещает мысль о том, что с openswan в Linux пора прощаться... Медленное развитие проекта, ошибки, которые исправляются месяцами... IMHO, расцвет openswan был в пору младших ядер 2.6.x. После того, как в iptables появилась поддержка трассировки ipsec, потребность в отдельном сетевом устройстве ipsec0 отпала.

Диагностика, которая доставась openswan от freeswan, в полной мере доступна только при наличии модуля KLIPS. При использовании Native IPSec, реализованного в ядре, возможности по диагностике намного слабее. Сжатие, которое позволяло значительно экономить траффик, теперь доступно и в racoon+setkey.

Что еще? Openswan, собранный с поддержкой сжатия, не отвергает ipcomp, даже если в конфигурации установлено compress=no, а ошибки реализации сжатия (в конфигурации с модулем KLIPS) могут привести к полному зависанию рутера.

Current Location: дома
Current Music: Xandria, Like A Rose On The Grave Of Love