Jak zacit s IPsec,GRE,ESP...

Dan Lukes dan at obluda.cz
Wed Apr 4 13:53:50 CEST 2007


Cizek.Milan wrote:
>>  	Takze bych rekl, ze se po tobe chce IPSEC s dynamickou vymenou klicu. 
>>  Jestli pouzijes racoon nebo isakmpd je, rekl bych, jedno. Pouzij co maji 
>>  na druhe strane - treba ti budou ochotni poslat konfigurace.
> 
> Zjistil jsem, ze na druhe strane maji FreeS/WAN a uvazuji o prechodu na racoon. O konkretni konfiguraky se delit nechteji.

	Pak mozna budou muset poskytnout nejake doplnujici informace - i ISAKMP 
ma vice ruznych modu cinnosti a ja si nejsem zcel ajist, jestli se dva 
daemony dokazou dohodnout vzdy, tj. bez ohledu na konfiguraci.

>>  > Dale si nejsem jisty, jestli mam konfigurovat gif, tak jak je to tam
>>  > popsane, protoze to muze jit i s generic interface? Co je pro me vhodnejsi?
>>  
>>  	Zbytecna otazka - ty nemas na vyber.

> OK, ted si me ale zase docela zmatnul. :-) To how-to popisuje reseni s gif, nikde krom zminky tam nevidim popis reseni na generic iface...

	IPSEC je v podstate "paketovy filtr" - ten neni "na interface".

	Divej se na nej jako na druh firewallu, kde je paket splnujici podminku 
subjektem akce "zIPSECuj" respektive "odIPSECuj".

	Duvod, proc se IPSEC dela "na interface" je ten, ze vyjdou jednodussi 
ty pravidla - pravidlo se postavi pro pakety tunelu (gif) - a to je 
jedna dvojice adres - a to, ktere pakety budou fakticky predmetem akce 
zajisti "beznejsi" systemove prostredky jako je routing pripadne 'fwd' 
oravisdlo firewallu - vse, co nejak zazenes na tento interface bude 
zIPSECovane.
	
	Ale to je jen zjednoduseni - slozitejsimi pravidly proste zIPSECujes 
libovolne jine pakety - pojem interface nema zasadni roli.

>>  nebo L2TP. Na Linuxu je oboji. Vlastne ale nevim, jestli L2TP mame na 
>>  FreeBSD ...
> 
> Na tuto otazku jsem dostal odpoved: Pod pojmem GRE rozumím General Routing Encapsulation protokol (všeobecný zapouzdřovací protokol), který jako jediný prochází vytvořeným IPSec spojením. Nic vic, cic min.

	Otazka neznela, co je to GRE, ale jakym protokolem ridi navazovani toho 
GRE spojeni. Nebo jsem odpvoed nepochopil. Kazdopadne, to si musis 
vyresit s nimi. To tady nevyresime. Mozna by stacilo aby ti i v tomto 
pripade prozradili jmeno daemona - pak zjistis, k cemu je ten dobry ...

> Muzu nejak nahodit IPsec bez rebootu serveru?

	Jasne. To, com je pro firewall utilita 'ipfw' tim je pro IPSEC utilita 
'setkey'.

						Dan






More information about the Users-l mailing list