IPSec na Linuxu, krok za krokem

AbcLinuxu:/ Články / IPSec na Linuxu, krok za krokem - 2 / IPSec na Linuxu, krok za krokem - 2 (diskuse)

Štítky: __xylofon, AbcLinuxu, audio, databáze, Debian, distribuce, firewally, Gentoo, GNOME, grafika, hardware, IDE, instalace, Internet, iptables, KDE, kernel, Linux, multimédia, NAT, ovladače, problém, programování, prohlížeče, server, sítě, software, SUSE, textové editory, Ubuntu, USB, Vim, web, Windows

Nástroje: Začni sledovat (0) ?

Vložit další komentář

24.3.2006 01:26 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: IPSec na Linuxu, krok za krokem - 2

Odpovědět | Sbalit | Link | Blokovat | Admin

V Cisco, nebo jiných zařízeních, je ipsec součástí IOSu, do Linuxu jej musíme dodat.

To platilo dříve, v jádrech řady 2.6 už jsou protokoly ESP i AH implementovány standardně, takže stačí jednoduchý konfigurační interface (setkey) a pro automatické klíčování démon racoon.

24.3.2006 09:34 peter
Rozbalit Rozbalit vše Re: IPSec na Linuxu, krok za krokem - 2

Odpovědět | Sbalit | Link | Blokovat | Admin

Pekné, no ja by som skôr potreboval nakonfigurovať Linuxového klienta, tak aby sa dokázal pripojiť do funkčnej firemnej VPN tak, aby na strane firemnej VPN nebolo potrebné nič meniť (nemám k tomu prístup).

Kvôli tomu, aby som sa mohol pripojiť do tejto VPN musím používať Windows a to sa mi vôbec nepáči. Klient na pripojenie je tuším Contiviti, nemáte niekto skúsenosti, ako sa prihlásiť do takejto VPN z Linuxu?

24.3.2006 10:08 erchamion
Rozbalit Rozbalit vše Re: IPSec na Linuxu, krok za krokem - 2

Na jakem zarizeni je ve firemni siti zakoncen VPN tunel? Pokud je to Cisco, funguje dobre klient vpnc, pro KDE pro nej existuje "nadstavba" kvpnc. Kvpnc ma tu vyhodu, ze dokaze primo pracovat s .pcf soubory z Win Cisco VPN clienta. Sam pouzivam kvpnc na FC4, pripojuju se s tim do firemni site, kde je Cisco 3000 VPN concentrator a funguje to bezchybne.

24.3.2006 12:29 peter
Rozbalit Rozbalit vše Re: IPSec na Linuxu, krok za krokem - 2

Mal by to byť nejaký Nortel Contivity shitch. Freeswan by s nim mal dokázat komunikovať, len ako to nakonfigurovať (parametrov je veľa a informácií málo - zlá kombinácia). Nikde som nenašiel žiadny návod.

V každom prípade skúsim to vpnc (ak som ho ešte neskúšal).

24.3.2006 14:00 PSIkappa
Rozbalit Rozbalit vše Re: IPSec na Linuxu, krok za krokem - 2

Ak ten Nortel Contivity je nastaveny tak, ze ako klienta pripusti len Contivity, tak je su len 2 moznosti a to bud patchnut zdrojaky, aby sa ti linux identifikoval ako Contivity klient, alebo pouzivat proprietarneho contivity klienta pre linux, ktory je len pre niektore verzie RH/SuSE kernelov a narozdiel od Win verzie je Lin verzia platena.

27.3.2006 06:26 aarwin
Rozbalit Rozbalit vše Re: IPSec na Linuxu, krok za krokem - 2

no, k linuxove verzi jen za priplatek se da dodat jen jedno zm*di zas*arny, kolik vam za to m$oft zaplatil ? ;-)

))

27.3.2006 06:29 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: IPSec na Linuxu, krok za krokem - 2

To máte z toho, že se místo standardního IPsec a volně dostupných nástrojů snažíte používat nějaké proprietární náhražky…

24.3.2006 12:42 platYpus
Rozbalit Rozbalit vše Re: IPSec na Linuxu, krok za krokem - 2

Pokud je to CISCO, tak se da stahnout "CISCO VPN client form Linux".

24.3.2006 12:27 lachtan
Rozbalit Rozbalit vše access-list

Odpovědět | Sbalit | Link | Blokovat | Admin

Nastavuje access-list pro dany IPSec tunel zaroven i fw pravidla nebo musim tyto pravidla urcit nekde jinde a pokud ano jak? Pravidla svazana s outside rozhranim totiz vubec pro IPSec nejsou brana v uvahu. Pokousim se sice spojit Cisco - Cisco, ale kdyz pritvrdim access-list, nenavaze se mi SA v jinak funkcnim tunelu. Uz to resim dva dny a nemuzu na nic prijit :)

24.3.2006 13:35 Jan Vondracek
Rozbalit Rozbalit vše Re: access-list

PIX umí udělat průstřel pro ipsec sám (sysopt permit ipsec), cisco router ne, musíte mít povoleny stejné věci jako v iptables na linuxu.

29.3.2006 14:08 pupala | skóre: 21
Rozbalit Rozbalit vše Re: IPSec na Linuxu, krok za krokem - 2

Odpovědět | Sbalit | Link | Blokovat | Admin

A ako je to s NAT 1-1 ?

Ja som bol presvedceny, ze cez NAT to nefunguje standardne. Ak napr. IP 62.168..x.x NAT-ujem na 192.168.x.x a IP 62.168.y.y NAT-ujem na 192.168.y.y tak to funguje, alebo da sa to spojazdnit ? Ak ano, privital by som komentar, pripadne pokec sukromne na pupalaro@pupalova.sk . Ak sa chcu pripojit aj iny nie som proti aj na diskusii tu. A rovno to potom frknut do slabikara :-)

)) s POZDRAVOM

Pupala

30.3.2006 18:02 Doda
Rozbalit Rozbalit vše Kerlne 2.6

Odpovědět | Sbalit | Link | Blokovat | Admin

Nedavno jsem se pokousel rozchodit prave OpenSwan na Debianu s jadrem 2.6.8. Vse se zda v poradku, ale nevytvori se mi zadne rozhrani ipsec0: jako na jadre 2.4. Ani nemuzu najit modul ipsec.o ani nic podobneho. Je mozne rozchodit openswan na kernelu 2.6 stejne jako na 2.4 ? Podle dokumentace co jsem nasel a precetl je to nejak rozdilne.

30.3.2006 18:08 Doda
Rozbalit Rozbalit vše Re: Kerlne 2.6

Jeste upresneni. Modul ipsec.o je docela urcite soucasti baliku (v Debianu) openswan-modules-source, ale nemuzu ho nejak zkompilovat s jadrem 2.6. Mozna by se musela vyhodit ta nativni podpora ipsecu z 2.6. jadra.

30.3.2006 18:21 Doda
Rozbalit Rozbalit vše Re: Kerlne 2.6

Tak me jeste napadlo zkompilovat ipsec.ko modul primo z puvodnich zdrojaku openswan, coz slo, ale pokud ho nahraju do pameti, tak mi jadro sleti.

30.3.2006 20:16 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Kerlne 2.6

Máte nějaký konkrétní důvod k použití OpenSwan místo nativních nástrojů?

31.3.2006 15:09 Doda
Rozbalit Rozbalit vše Re: Kerlne 2.6

Ano, nekolik, nevim, jestli je ale uznate. Jednam mama udelane rozsahle vpn na openswan, kde se konfiguracni soubory a klice generuji pomoci specialniho software. Jde z velke casti o naprosto totozne routery, ktere se daji v pripadku havarie rychle nahradit. Tady ten debian neni ten pripad. Dalsi vec jsou podobne generovane konfiguraky pro shorewall, v pripade jadra 2.6 a nativniho ipsecu je to zase nejake jine. Shorewall se musi nejak patchovat a konfiguracni soubory jsou rozdilne

Me by zajimalo, jestli se navenek ta nativni podpora ipsec ve 2.6 muze pouzit stejne, tedy stejne konfiguracni soubory a stejne se s tim zachazi. Ja na to nejsem uplne odbornik, ale proste po prostudovani docela dost dokumentu se mi to zda jine.

Je mozne, ze jsem se vydal spatnou cestou, ale prave proto bych potreboval trochu postrcit. Staci jednoduse.

31.3.2006 17:48 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Kerlne 2.6

Ano, možnost převést s nemalými úpravami existující a relativně odzkoušenou konfiguraci je docela dobrý důvod, proč dát přednost OpenSwan. Sám jsem taky svého času poměrně dlouho zůstával u jádra řady 2.2 a ipchains, než jsem se přesvědčil, že mi jádro 2.4 a netfilter opravdu přinese něco pozitivního, co bude stát za tu práci. Původně jsem předpokládal, že je řeč o nastavení stroje "from scratch".

Nejsem si jistý, co ve své otázce rozumíte slovem stejné. Jestli jde o možnost použít na jednotlivých strojích prakticky stejný konfigurační soubor (pouze s nahrazením např. IP adresy a jména), pak ano. Jestli myslíte možnost použít stejný konfigurační soubor jako ve FreeS/WAN resp. OpenSwan, pak ne, ta konfigurace vypadá úplně jinak (i když vlastně nastavujete totéž).

Na druhou stranu bych řekl, že konfigurace ipsec-tools trochu víc odpovídá tomu, jak IPsec vlastně funguje, zatímco FreeS/WAN (OpenSwan) to trochu "maskuje". Jinak jsou to ale stejné protokoly, takže není problém používat na jedné straně jednu implementaci a na druhé straně druhou. Jen nesmíte uměle vyrobit nekompatibilitu třeba disjunktní sadou podporovaných algoritmů nebo požadovaným formátem identifikátoru (ale to platí i v případě, že bude na obou stranách totéž).

1.4.2006 10:26 Doda
Rozbalit Rozbalit vše Re: Kerlne 2.6

Me slo opravdu o to, pouzit konfiguracni soubory, ktere "zkopiruji" od OpenSwan. Pokusim se prokousat i podporou v 2.6., ale jeste by me zajimala nasledujici vec (reknu to jednoduse, nevim jak to jinak formulovat): Vznikne mi v systemu pri pouziti nativni podpory ipsec ve 2.6 take dalsi interface s nazvem napriklad ipsec0: jako je tomu u openswanu na 2.4 ?

1.4.2006 22:13 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Kerlne 2.6

Ne, nevznikne, funguje to trochu jinak. Rozhodnutí o tom, které pakety mají být posílány zabezpečeně, není prováděno podle směrovací tabulky, ale na základě nastavení security policy resp. security association.

Založit nové vlákno • Nahoru

Tiskni Sdílej: