Jak zacit s IPsec,GRE,ESP...
Dan Lukes
dan at obluda.cz
Wed Apr 4 02:26:51 CEST 2007
Milan Cizek napsal/wrote, On 04/04/07 00:47:
>> Nejprve rozfunguj IPSEC.
> Ja zil prave v
> domeni, ze uz pod pojmem IPsec se skryvaji klice a sifrovana komunikace.
To ano - ale uz ne distribuce klicu.
> (http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html) se o
> klicich prilis nemluvi, tedy az v souvislosti s racoon. Je to tedy, tak ze
> ta VPNka, kterou vytvorim, je pouze VPNka bez jakekoli zabezpeceni?
Neorzumim ? IPSEC je vzdycky sifrovany coz bych, pracovne, za
zabezpeceni povazoval.
Navic si z puvodniho dopisu pamatuju pozadavek na komunikaci na portu
500, coz je port vyhrazeny pro ISAKMP, coz je prave protokol na
distribuci klicu.
Take pozadavek na osmihodinovou expiraci klicu naznacuje, ze vymena
klicu bud eautomaticka - ledaze je kazdych osm hodin nekdo bud
evymenovat rucne (a to by nebyl potreba ten port 500).
Takze bych rekl, ze se po tobe chce IPSEC s dynamickou vymenou klicu.
Jestli pouzijes racoon nebo isakmpd je, rekl bych, jedno. Pouzij co maji
na druhe strane - treba ti budou ochotni poslat konfigurace.
Stejne potrebujeme vedet nejmene to, jestli IPSEC bude v rezimu AH nebo
ESP.
> Dale si nejsem jisty, jestli mam konfigurovat gif, tak jak je to tam
> popsane, protoze to muze jit i s generic interface? Co je pro me vhodnejsi?
Zbytecna otazka - ty nemas na vyber. Na vyber ma ten, kdo konfiguruje
obe strany - tedy cely tunel. Ty nad jednou stranou nemas zadnou
kontrolu. Zadani o IP-in-IP tunelu (=gif) nemluvi, takze ho asi mit nemuzes.
> A nakonec posledni dotaz. I kdyby se mi nahodou podarilo vse rozcchodit,
> jaka je garance, ze budu s protistranou, ktera pravdepodobne jede na linuxu,
> kompatibilni. Mam alespon nejakou jistotu v ramci standardu nebo proste muzu
> narazit a bude hotovo? Diky
Pravdepodobnost je v kazdem pripade nenulova - a presneji - kladna
avsak mensi nez jedna.
Standard existuje - jak pro IPSEC tak pro ISAKMP (protokol). Ale
standard umoznuje urcite varianty a ne vsechny musi byt implementovany
vsude. V nejhorsim pripade napriklad budete kazdy umet pet sifer - a
zadnou spolecnou. No, primo tohle asi nenastane. Realne pouzivanych
sifer zas tolik neni.
Nejmene problemu bych ocekaval se samotnym IPSECem. Vetsi sance na
problemy je u ISAKMPD daemona - urcite problemy budou skoro jiste,
protoze ten jde nastavit prilis mnoha zpusoby a nevime, co maji na druhe
strane. Viz rada o stejnem daemonovi, bude-li mozno, a jejich konfiguraci.
Dalsi cast problemu - GRE se zatim neda odhadnout. Uz proto, ze GRE je
neuplna informace - GRE prenasi data. Ovsem, ustaveni tohoto kanalu a
jeho parametru - a pak vyznam prenasenych dat, to zajistuji jin
eprotokoly. A zatim nemame jak cuchat, jestli pojmem GRE mysleji PPTP
nebo L2TP. Na Linuxu je oboji. Vlastne ale nevim, jestli L2TP mame na
FreeBSD ...
Dan
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz
More information about the Users-l
mailing list