June 18th, 2021

Cat-light

Мимолётная мысль #54

Сам не проверял. Но xatkaru как-то у себя в ЖЖ писала, что в Финляндии экзамен на право владения автомобилем принимают коммерческие конторы типа наших "ООО" (общество с ограниченной ответственностью). При этом там вполне себе серьёзно дрючат и за деньги "просто взять и купить" водительское удостоверение не позволяют.

Я вот на минуточку подумал что было бы, если подобную практику распространить на Россию.

На прошлой неделе ездил оформлять диагностическую карту для продления ОСАГО (не надо возражать мне, что она больше не нужна, это неправда). Что я могу сказать? Классическая схема дойки населения. Из бюджета выделяют дополнительные деньги на проверку этих "пунктов техосмотра", а они всё равно плодятся как грибы и проводят те или иные процедуры чисто "для галочки". Как это влияет на безопасность дорожного движения, лично я сказать затрудняюсь. Ну, у меня хотя бы фары, поворотники и стеклоочистители, например, поглядели. На этом всё и закончилось.

Или другой пример. Сейчас уже много где требуют сертификат о вакцинации. Но наш брат чем идти делать прививку, скорее просто купит такой сертификат. Уже, опять же, появились такие фирмочки в количествах и их телефоны-адреса ни для кого не секрет. Вот спрашивается, почему в Финляндии подобный "аутсорс" работает, а в России — никогда?

... Попробовал зарегистрироваться в Zoom-е. На "Яндексовскую" почту письмо о валидации электронного адреса так и не дошло. А вот на GMail — пожалуйста. Zoom таки зобанил Рассеюшку?

Всем исправного автомобиля и работающего Zoom-а.

Cat-light

А кто-нибудь щупал FortiGate-ы?

Тут попался очередной контрагент, с которым нужно строить site2site ipsec. Контрагент не российиский и какой-то крайне нетрадиционно мыслящий. Прислал на согласование схему подключения. Дык там не то что без пол-литра, без чего потяжелее-то не разберешься. У них FortiGate-AWS 6.4.2. Видимо, не смогли найти админов, которые не боялись бы в консоли работать.

А сильнее всего меня поставила в ступор их опция "Support Key Exchange for Subnets". В цисках, ждуниперах и StrongSWAN такой точно нет. Есть в Checkpoint-ах и в FortiGate-ах. Но я не понимаю что она делает и какой должна быть настройка с другой стороны. То ли это автоматическое (on-demand) создание или не-создание новой SA (security association) для соединения между парой различных хостов по обе стороны тоннеля, то ли имеется в виду IKEv2 multiple traffic selectors при согласовании второй фазы, то ли какое-то не-RFCшное расширение протокола IPSec.

Есличо, с моей стороны ждунипер SRX. Но с таким я сталкиваюсь впервые.

Вот наиболее релевантные ресурсы, которые я нагуглил, но прямого ответа на мой вопрос они всё равно не дают.

https://forum.fortinet.com/tm.aspx?m=10533
https://community.cisco.com/t5/vpn/key-exchange-for-subnets/td-p/3365136
https://sc1.checkpoint.com/documents/R80.40/WebAdminGuides/EN/CP_R80.40_SitetoSiteVPN_AdminGuide/Content/Topics-VPNSG/IPsec-and-IKE.htm

Если кто-нибудь из читающих меня реально работал со всякими Checkpoint-ами и FortiGate-ами, подскажите пожалуйста.