Bon j'ai pas testé, mais tu as quoi comme alternative pour faire un check du poste et un déploiement de règles locales a la connexion ?
Check poste ? càd ?
Sinon OpenVPN permet de déployer de la config de base (dns/domain/routes) et également des user scripts si je ne m'abuse. Maintenant je suppose qu'on va me sortir l'argument que l'application de ces règles peut-être esquivée par l'utilisateur, mais ça serait le cas aussi avec le client checkpoint, juste moins simple vu qu'on a pas les sources du bidule (c'est d'ailleurs ce qui me fait installer un soft pareil dans une VM quand je dois administrer les machines d'un client).
Si tu parles bien d'ipso, c'est basé sur du bsd à l'origine. Et il existe Gnukia pour retrouver un peu du confort Gnu sous ipso
Je suis pas un spécialiste Checkpoint, mais ça se vend pas que sur des plateformes Nokia, ils le vendent même à installer sur un Windows
Avoir deux IP sur la même carte réseau étant possible moyennant quelques bidouilles dans des fichiers de configuration non documentés.
Jamais essayé, mais dans quel but ? Ipso supportte très bien les interfaces vlans
Là je vois vraiment pas le rapport
Bref, ça ne correspond pas à ton besoin.
Un client de plus \o/
Concernant les perf, il y a des cartes accélératrices qui fonctionnent correctement sous openbsd ? Déjà qu'il ne sait apparement pas utiliser plusieurs core d'après http://www.openbsd.org/faq/pf/fr/perf.html ...
Effectivement, avec de l'OpenVPN par exemple c'est un process par CPU, donc à moins de monter plusieurs VPN et faire du round robin avec relayd, c'est pas out of the box (bien que faire du round robin avec relayd ça soit pas vraiment dur ...)
Sinon y'a du support de cryptodev pour Via padlock (avec OpenSSL sous OpenBSD j'ai déjà essayé avec des débits à 300Mbits/s, mais j'ai un doute, je sais plus si c'était avec AES128 ou AES256 ou les deux)
Et ca fonctionne bien en mode actif/actif ?
Désolé pour la déception, mais j'ai rien de mieux qu'un manuel, section 6.11.3 - Load balancing de http://www.openbsd.org/faq/faq6.html#CARP . Malheureusement je doute fortement que ça marche en ayant les machines comme endpoint IPSec ou OpenVPN (ou alors il faut sérieusement bidouiller)
[^] # Re: Tout dépend du besoin...
Posté par Rémi Laurent . En réponse au journal De Checkpoint à FreeBSD. Évalué à 1.
Check poste ? càd ?
Sinon OpenVPN permet de déployer de la config de base (dns/domain/routes) et également des user scripts si je ne m'abuse. Maintenant je suppose qu'on va me sortir l'argument que l'application de ces règles peut-être esquivée par l'utilisateur, mais ça serait le cas aussi avec le client checkpoint, juste moins simple vu qu'on a pas les sources du bidule (c'est d'ailleurs ce qui me fait installer un soft pareil dans une VM quand je dois administrer les machines d'un client).
Si tu parles bien d'ipso, c'est basé sur du bsd à l'origine. Et il existe Gnukia pour retrouver un peu du confort Gnu sous ipso
Je suis pas un spécialiste Checkpoint, mais ça se vend pas que sur des plateformes Nokia, ils le vendent même à installer sur un Windows
Avoir deux IP sur la même carte réseau étant possible moyennant quelques bidouilles dans des fichiers de configuration non documentés.
Jamais essayé, mais dans quel but ? Ipso supportte très bien les interfaces vlans
Là je vois vraiment pas le rapport
Bref, ça ne correspond pas à ton besoin.
Un client de plus \o/
Concernant les perf, il y a des cartes accélératrices qui fonctionnent correctement sous openbsd ? Déjà qu'il ne sait apparement pas utiliser plusieurs core d'après http://www.openbsd.org/faq/pf/fr/perf.html ...
Effectivement, avec de l'OpenVPN par exemple c'est un process par CPU, donc à moins de monter plusieurs VPN et faire du round robin avec relayd, c'est pas out of the box (bien que faire du round robin avec relayd ça soit pas vraiment dur ...)
Sinon y'a du support de cryptodev pour Via padlock (avec OpenSSL sous OpenBSD j'ai déjà essayé avec des débits à 300Mbits/s, mais j'ai un doute, je sais plus si c'était avec AES128 ou AES256 ou les deux)
Et ca fonctionne bien en mode actif/actif ?
Désolé pour la déception, mais j'ai rien de mieux qu'un manuel, section 6.11.3 - Load balancing de http://www.openbsd.org/faq/faq6.html#CARP . Malheureusement je doute fortement que ça marche en ayant les machines comme endpoint IPSec ou OpenVPN (ou alors il faut sérieusement bidouiller)