IPsec
Dan Lukes
dan at obluda.cz
Tue Jan 4 18:30:51 CET 2005
Ondra Koutek napsal/wrote, On 01/04/05 12:49:
> Na zacatek roku jsem dostal prijemny ukol naucit se VPN pomoci Ipsecu. V
> Handbooku je to hezky popsane a tak se toho nebojim, ale chci se optat, jak
> to je v pripade hvezdy, tedy pokud mam centralu s pripojenim do internetu a
> chci pripojit na toto rozhrani vic ruznych lokaci. Staci pak na centrale
> definovat gif0 a gif1 (pro 2 spojeni) a pak na kazde z pobocek proste gif0 s
> patricnymi parametry, a nebo je v tom jeste nejaky hacek?
Ano, mam to tak v jedne financni instituci. Se statickymi klici je to
zcela stabilni, s dynamickym daemonem to ma urcite drobne musky, ale ta
se to nakonec vyladit k rozumne spolehlivosti.
Podotykam, ze z praktickeho hlediska se mi opravdu osvedcilo pouzivat
GIF (a IPSEC navazovat jen mezi jejich vnejsimi adresami) ackoliv
"nativni" konfigurace IPSEC by se bez virtualnich interfacu obesla (ESP
je protokol pro tunelovani sam o sobe).
Jak tady uz rikal Jirka, uziti IPSEC je omezeno na site, ktere maji
regulerni pripojeni k Internetu. Pokud mas pripojeni pouze k ruznym
neplnohodnotnym nahrazkam, kde nemas obeznou IP konektivitu (neprochazi
vsechny IP pakety) pak to skutecne fungovat nemusi.
ADSL neni automaticky v rozporu s touto podminkou - pokud mas od
operatora "verejnou" adresu. Dokonce muj ADSL router, co me pripojuje
doma se vytahuje, ze IPSEC tunel zvladnout umi (i kdyz sam jsem to jeste
nezkousel) - takze za urcitych okolnosit by nemuselo byt nutne v
prislusne lokalni siti mit samostatne FreeBSD jako router ...
Pro site s omezenim lze pouzit jiz zminene OpenVPN. A vlastne neni
prilis duvodu pred nim uziti IPSECu favorizovat (snad jen kvuli
interoperabilite).
Mimochodem, kdosi mi psal, ze v 5.x by uz snad mel mit IPSEC podporu
pro UDP encapsulaci (a NAT-T vubec), nicmene, letme nahlednuti do
zdrojaku (vcetne 6.x) se mi tomu nezda nasvedcovat. Nicmene, videl jsem
patche pro NetBSD i OpenBSD, takze to nepochybne casem dorazi take.
Dan
More information about the Users-l
mailing list