IPsec

[Dan Lukes]

Ondra Koutek napsal/wrote, On 01/04/05 12:49:
> Na zacatek roku jsem dostal prijemny ukol naucit se VPN pomoci Ipsecu. V
> Handbooku je to hezky popsane a tak se toho nebojim, ale chci se optat, jak
> to je v pripade hvezdy, tedy pokud mam centralu s pripojenim do internetu a
> chci pripojit na toto rozhrani vic ruznych lokaci. Staci pak na centrale
> definovat gif0 a gif1 (pro 2 spojeni) a pak na kazde z pobocek proste gif0 s
> patricnymi parametry, a nebo je v tom jeste nejaky hacek?

	Ano, mam to tak v jedne financni instituci. Se statickymi klici je to 
zcela stabilni, s dynamickym daemonem to ma urcite drobne musky, ale ta 
se to nakonec vyladit k rozumne spolehlivosti.

	Podotykam, ze z praktickeho hlediska se mi opravdu osvedcilo pouzivat 
GIF (a IPSEC navazovat jen mezi jejich vnejsimi adresami) ackoliv 
"nativni" konfigurace IPSEC by se bez virtualnich interfacu obesla (ESP 
je protokol pro tunelovani sam o sobe).

	Jak tady uz rikal Jirka, uziti IPSEC je omezeno na site, ktere maji 
regulerni pripojeni k Internetu. Pokud mas pripojeni pouze k ruznym 
neplnohodnotnym nahrazkam, kde nemas obeznou IP konektivitu (neprochazi 
vsechny IP pakety) pak to skutecne fungovat nemusi.

	ADSL neni automaticky v rozporu s touto podminkou - pokud mas od 
operatora "verejnou" adresu. Dokonce muj ADSL router, co me pripojuje 
doma se vytahuje, ze IPSEC tunel zvladnout umi (i kdyz sam jsem to jeste 
nezkousel) - takze za urcitych okolnosit by nemuselo byt nutne v 
prislusne lokalni siti mit samostatne FreeBSD jako router ...

	Pro site s omezenim lze pouzit jiz zminene OpenVPN. A vlastne neni 
prilis duvodu pred nim uziti IPSECu favorizovat (snad jen kvuli 
interoperabilite).

	Mimochodem, kdosi mi psal, ze v 5.x by uz snad mel mit IPSEC podporu 
pro UDP encapsulaci (a NAT-T vubec), nicmene, letme nahlednuti do 
zdrojaku (vcetne 6.x) se mi tomu nezda nasvedcovat. Nicmene, videl jsem 
patche pro NetBSD i OpenBSD, takze to nepochybne casem dorazi take.


						Dan