IP over HTTPS (в MS DirectAccess)

Microsoft (также как и мы) устали бороться с кривыми Firewall'ами и NAT'ами, а также с недостатками их собственного PPTP (непроходимостью через прокси) и создали новый протокол для туннелирования IP внутри HTTPS. HTTPS ни один провайдер не закроет (как отличать от "обычного" HTTPS — внутрь не заглянешь!). И HTTPS отлично проходит через прокси. В общем, идеальный носитель для любых протоколов. Многие программы давно используют HTTPS для пропуска своих TCP-протоколов через прокси (включая наш Eserv / Eproxy), но вот в качестве замены PPTP, причем в обе стороны (веб-сервер выступает VPN-сервером) — такое кажется впервые. Поддерживается в Windows 7 и Windows 2008 R2.

Спецификация протокола. Протоколом это даже трудно назвать, т.к. MS умудрилась на этот раз не изобрести ни одного нового формата! И вообще ни одной новой сущности. Просто сборка существующих технологий в правильный стек. Шифрование и авторизация средствами самого HTTPS (TLS), начало сессии — средствами внутреннего HTTP, а IP-пакеты внутри просто группируются в один огромный HTTP POST и столь же огромный ответ. Всё грамотно сделано. Давно надо было так

Недостаток пока виден только один — внутри тоннеля ходит только IPv6. IPv4 поддерживается только как несущий протокол. Т.е. получился своего рода еще один вариант 6over4. MS последовательно и настойчиво подталкивает предприятия к более широкому использованию IPv6. И не только предприятия Новые протоколы MS, такие как P2P PNRP, хоть и рассчитаны на Интернет, тоже работают только с IPv6 (которым в интернете пока охвачено только около 2%). MS твёрдно уверены, что от IPv6 мы не отвертимся. Да мы и не собираемся отвертываться, это провайдеры тормозят процесс перехода. В Eserv поддержки IPv6 вообще-то тоже нет , но на самом деле все необходимые наработки уже есть, и включить их в Eserv штатно — дело пары дней. Не спешу, т.к. никто не просит