[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux] solutions de tunnel



Deviens interessant la ;)

Pour Cisco, bon, IPSec donne aussi une idee parallele au SA qui sont les policy.
Je dois dire que je n'ai qu'une vue mitigee sur la chose et le 'comment kon
implemente cette unite' a vu naitre un packet de solutions deffirentes. Comme
tu dis, cela suit le RFC car on est compatible avec les autres, ce n'est pas pour ca
que la solution est 'belle' (notion floue mais bon).

Ma solution ideale est que l'on cree des selectors (proxy identities chez cisco) qui
sont implemente souvent comme de juste par des ACLS. On hook ensuite ces selectors 
dans le passage des packets dans stack: Capturer un packet en RX et route_packet() en TX.
C'est tout. Le role d'IPSec s'arrete la a mon sens. Si on veux une interface reseau classique,
on fait du GRE.

Le reve de l'implementation doit etre dans click router project. C'est con mais j'ai pas trop le temp
de jouer dessus, j'ai deja trop dans mes journees/soirees.

Personnellement, j'aimes bien la solution transport mode + GRE car elle ne coute pas bcp plus chers
que tunnel mode et offre un lien tout se qu'il y a de plus classique, mais encrypte, authentifier, etc..

Pour mon probleme: faire du policy routing (genre load balancer sur 4 interfaces sur la meme machine)
et freeSwan dessus .. Sinon, oui, ca coopere assez bien je dois dire.

Cote openBSD, je n'ai pas trop (encore) joue avec. Je travaille bcp(uniquement pratiquement)
sous linux je dois dire.

JeF

 >On Tue, 29 Jan 2002, Jean-Francois Dive wrote:
> 
> > > On Sun, 27 Jan 2002, Jean-Francois Dive wrote:
> > >
> > > > Hello,
> > > >
> > > > Pour les tunnels, je te conseil soit FreeSWAN, mais j'ai personnellement
> > > > des doutes quand a la valeur de son implementation. On l'utilise pour
> > >
> > > Tu veux dire par rapport aux RFCs ? Je crois qu'il y a bcp
> > > d'implémentations qui sont 100% des RFCs. FreeSWAN marche bien avec Cisco
> > > IOS IPSec (12.1+),  OpenBSD et Checkpoint FW1 4.1 SP2.
> > >
> > Oui, par rapport aux RFC. Meme si ca fonctionne avec les autres implementations
> > (et donc que ca suit suffisemment le RFC), je n'arrive pas a pardonner deux choses
> > a FreeSWAN:
> >
> > - L'existance des interfaces ipsecX (donne une fausse impression).
> 
> Oui, mais le problème est récurrent. Par exemple, chez Cisco, tu peux très
> bien créer des "crypto map" sans pour autant les appliquer. J'ai déjà vu
> des configs qui passe par le routage traditionnel et non via les tunnel.
> (ok, le client n'est pas très futé mais cela arrive ;-))
> 
> En effet, cela induit en erreur mais connais-tu une solution simple pour
> représenter les SA via des interfaces ou autre ?
> 
> Dans BSD, tu spécifies des tunnels "gif" est-ce une meilleur solution, je
> ne sais pas ? si tu as des idées, je suis preneur on peut tjs asticoter
> les développeurs ou envoyer un mail à John Gilmore ;-)
> 
> 
> > - Le pseudo stack de routing interface a FreeSWAN.
> 
> Celle de pluto via KLIPS1 ? Je sais qu'il y a quelques fantaisies avec
> iproute2. Mais quel le problème exact ? l'implémentation incorrect ? Je
> serais curieux de savoir (je l'utilise avec OpenBSD et Cisco IOS 12.1 et
> cela fonctionne)
> 
> 
> >
> > Ca me pause des problemes et ne permet pas de faire se que l'on veut.
> >
> > donc grosso modo, l'ideal serait de jeter l'implementation IPSec et de garder
> > Pluto sur une autre. Peut etre en mettant les selectors dans iptables avec
> > un nouveau target genre -j CRYPT, ou autre.
> 
> C'est pour cela que OpenBSD avec photoris est pas mal non plus ;-)
> 
> Bonjour à tout le monde là-bas.
> 
> alx
> 
> 
> -- 
> ---
> Alexandre Dulaunoy
>   Work    : http://www.conostix.com/       adulau@conostix.com
>   Private : http://www.thinkingsecure.com/ adulau@thinkingsecure.com
> 
> "Liberty is the great parent of science and of virtue; and a nation will
> be great in both in proportion as it is free. " T. Jefferson
> 
> 
> 
> >
> > > Il est vrai que entre Freeswan et W2K il ya quelques problèmes.
> > >
> > > > la connection de clients laptop vers le reseau interne et ca fonctionne
> > > > bien, ou sur demande quand on doit se connecter a un router ou autre.
> > > >
> > > > Pour le reste de nos vpns, on utilise PPP over SSH et je dois dire que ca tourne
> > > > comme une fleure, vraiment pas de probleme. Tres simple a configurer (cf howto),
> > > > pas de reproches a faire.
> > > le pty-vty-redir via ssh marche pas mal avec SSH. Le seul problème est
> > > l'overhead. C'est utilisable sur des lignes de bonnes qualités. Par contre
> > > via du VSAT ou du frame-relay... c'est bcp mieux IPSec.
> > >
> > Ouaip, quoi que on le fait via Frame Relay ici, mais on a vraiment rarement de
> > congestion...
> > >  >
> > > > Je dirais donc que le choix n'est pas facile car les deux solutions sont
> > > > bonnes et je n'ai pas vraiment d'argument pour l'un ou l'autre si ce n'est
> > > > que debuger de l'IPSec est clairement plus difficile que du ppp sur ssh, quoi que..
> > > >
> > > > Pour le reste, faire passer le microsoft networking a travers ton tunnel, il te faut
> > > > simplement un server WINS de chaque cote et un lien entre les deux.
> > >
> > > Ou un petit netcat bricolé ;-) (cela me rappelle que je dois encore mettre
> > > le patch en ligne)
> > >
> > ;)
> >
> > >
> > > >
> > > > Pour le partage de l'ecran, clairement VNC qui ne consomme pas trop de bande
> > > > passante, pas comme netmeeting qui est fait pour envoyer des images et du son plutot
> > > > que VNC qui est fait pour ca. Cote Performance, ca va evidemment dependre de la ligne
> > > > et du traffic entre les deux sites, les essais de donneront une impression de se que ca
> > > > pourrait donner.
> > > yop.
> > >
> > > >
> > > > hope that help,
> > > >
> > > > JeF
> > > >
> > >
> > > --
> > > ---
> > > Alexandre Dulaunoy
> > >   Work    : http://www.conostix.com/       adulau@conostix.com
> > >   Private : http://www.thinkingsecure.com/ adulau@thinkingsecure.com
> > >
> > > "Liberty is the great parent of science and of virtue; and a nation will
> > > be great in both in proportion as it is free. " T. Jefferson
> > >
> > >
> > >
> > > _______________________________________________
> > > Linux Mailing List
> > > Archives: http://unixtech.be/mailman/listinfo/linux
> > >
> >
> >
> 

-- 
-> Jean-Francois Dive
--> jef@linuxbe.org
_______________________________________________
Linux Mailing List
Archives: http://unixtech.be/mailman/listinfo/linux