Jak zacit s IPsec,GRE,ESP...

Dan Lukes dan at obluda.cz
Wed Apr 4 02:26:51 CEST 2007


Milan Cizek napsal/wrote, On 04/04/07 00:47:
>> 	Nejprve rozfunguj IPSEC. 

> Ja zil prave v
> domeni, ze uz pod pojmem IPsec se skryvaji klice a sifrovana komunikace.

	To ano - ale uz ne distribuce klicu.

> (http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html) se o
> klicich prilis nemluvi, tedy az v souvislosti s racoon. Je to tedy, tak ze
> ta VPNka, kterou vytvorim, je pouze VPNka bez jakekoli zabezpeceni?

	Neorzumim ? IPSEC je vzdycky sifrovany coz bych, pracovne, za 
zabezpeceni povazoval.

	Navic si z puvodniho dopisu pamatuju pozadavek na komunikaci na portu 
500, coz je port vyhrazeny pro ISAKMP, coz je prave protokol na 
distribuci klicu.

	Take pozadavek na osmihodinovou expiraci klicu naznacuje, ze vymena 
klicu bud eautomaticka - ledaze je kazdych osm hodin nekdo bud 
evymenovat rucne (a to by nebyl potreba ten port 500).

	Takze bych rekl, ze se po tobe chce IPSEC s dynamickou vymenou klicu. 
Jestli pouzijes racoon nebo isakmpd je, rekl bych, jedno. Pouzij co maji 
na druhe strane - treba ti budou ochotni poslat konfigurace.

	Stejne potrebujeme vedet nejmene to, jestli IPSEC bude v rezimu AH nebo 
ESP.


> Dale si nejsem jisty, jestli mam konfigurovat gif, tak jak je to tam
> popsane, protoze to muze jit i s generic interface? Co je pro me vhodnejsi?

	Zbytecna otazka - ty nemas na vyber. Na vyber ma ten, kdo konfiguruje 
obe strany - tedy cely tunel. Ty nad jednou stranou nemas zadnou 
kontrolu. Zadani o IP-in-IP tunelu (=gif) nemluvi, takze ho asi mit nemuzes.

> A nakonec posledni dotaz. I kdyby se mi nahodou podarilo vse rozcchodit,
> jaka je garance, ze budu s protistranou, ktera pravdepodobne jede na linuxu,
> kompatibilni. Mam alespon nejakou jistotu v ramci standardu nebo proste muzu
> narazit a bude hotovo? Diky

	Pravdepodobnost je v kazdem pripade nenulova - a presneji - kladna 
avsak mensi nez jedna.

	Standard existuje - jak pro IPSEC tak pro ISAKMP (protokol). Ale 
standard umoznuje urcite varianty a ne vsechny musi byt implementovany 
vsude. V nejhorsim pripade napriklad budete kazdy umet pet sifer - a 
zadnou spolecnou. No, primo tohle asi nenastane. Realne pouzivanych 
sifer zas tolik neni.

	Nejmene problemu bych ocekaval se samotnym IPSECem. Vetsi sance na 
problemy je u ISAKMPD daemona - urcite problemy budou skoro jiste, 
protoze ten jde nastavit prilis mnoha zpusoby a nevime, co maji na druhe 
strane. Viz rada o stejnem daemonovi, bude-li mozno, a jejich konfiguraci.

	Dalsi cast problemu - GRE se zatim neda odhadnout. Uz proto, ze GRE je 
neuplna informace - GRE prenasi data. Ovsem, ustaveni tohoto kanalu 	a 
jeho parametru - a pak vyznam prenasenych dat, to zajistuji jin 
eprotokoly. A zatim nemame jak cuchat, jestli pojmem GRE mysleji PPTP 
nebo L2TP. Na Linuxu je oboji. Vlastne ale nevim, jestli L2TP mame na 
FreeBSD ...

					Dan
	

-- 
Dan Lukes                                               SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz



More information about the Users-l mailing list