Jak skonfigurować szyfrowaną sieć w najprostszy sposób w systemie Linux?

Rozważmy, że mamy niezaszyfrowane połączenie sieciowe (na przykład Wi-Fi Ad-hoc bez WPA, ale nie tylko, oczywiście, bezprzewodowo). Jaki jest najprostszy sposób na jego zabezpieczenie (GNU / Linux po obu stronach).

Oczekiwanie następujących właściwości:

• Brak specyficznych dla dystrybucji (nie ifup / ifdown, brak integracji w /etc/init. Cokolwiek)
• Najlepiej bez plików konfiguracyjnych (tylko polecenia w konsoli)
• Najlepiej odpowiadać na standardowe moduły jądra obecne w większości rozproszonych jąder.

Wydajność nie jest krytyczna.

Oczekiwanie czegoś takiego:

ip link add encrypted_link0 type encrypted link=wlan0 psk=k48M1n3n6
ip link set encrypted_link0 up
ip link addr add 192.168.44.2/30 dev encrypted_link0
ip route add via 192.168.44.1 dev encrypted_link0

z jednej strony i

ip link add encrypted_link0 type encrypted link=wlan0 psk=k48M1n3n6
ip link set encrypted_link0 up
ip link addr add 192.168.44.1/30 dev encrypted_link0
echo 1 > /proc/sys/net/ipv4/conf/encrypted_link0/forwarding

po drugiej stronie.

Nie myśląc o żadnych serwerach uwierzytelniających, po prostu używając dobrego domyślnego algo, takiego jak aes256, nie myśląc o konfigurowaniu różnych łabędzi lub szopów.

Utworzono specjalny mały program do tego: https://github.com/vi/tap_mcrypt

iwconfig wlan0 mode Ad-Hoc
iwconfig wlan0 essid access_point_name
ip link set wlan0 up;

MCRYPT_KEYFILE=/root/enc0_key DEV_NAME=enc0 tap_mcrypt wlan0 74:f0:6d:7b:8d:c3 &
sleep 0.5

ip link set enc0 up
ip addr add 192.168.99.128/24 dev enc0

Niezbyt bezpieczny, ale łatwy w konfiguracji i powinien działać z różnymi połączeniami.