On Fri, May 28, 2004 at 06:35:50PM +0200, R?mi Letot wrote: > On Fri, 2004-05-28 at 17:21, Jean-Francois Dive wrote: > > On Fri, May 28, 2004 at 04:57:34PM +0200, R?mi Letot wrote: > > > On Fri, 2004-05-28 at 16:37, Jean-Francois Dive wrote: > > > > > Oui mais bon, vu les d?bits des connections et le nombre de tunels > > > > > relativement bas, quoi qu'il arrive je serai surdimensionn? ? mort, > > > > > donc... > > > > > > > > > > L'arr?t de freeswan me pose un probl?me de taille. Il y a des projets > > > > > "successeurs", mais je n'ai pas le temps actuellement de bien les > > > > > regarder pour savoir s'ils sont s?rieux et ont des chances de durer ou > > > > > pas. Et je n'ai pas envie de baser une infrastructure importante sur un > > > > > produit qui n'existera plus dans 6 mois. > > > > > > > > oui c'est vrais mais ca sera toujours contine a mon sens. > > > > > > ipsec oui, mais l'impl?mentation freeswan est arr?t?e. > > > > openswan est la releve. Ca ne change rien: le developement de freeswan > > est de toute facon mort depuis plusieur annees. Les gars qui ont repris > > sont ceux qui ont continellement patche la chose. Mais je comprends ton > > point de vue. Moi je n'utilise pas pluto parceque apres avoir lu le > > source et fixe un tas de bug la dedans, je n'en veux simplement plus. > > Ah ben justement, la vue d'un d?veloppeur qui connait la chose > m'int?resse :-) Donc l'architecture d?riv?e de FreeSwan est ? ?viter. Il > y a une alternative fonctionnellement ?quivallente ? Je suppose isakmpd > d'apr?s ton mail pr?c?dent, mais je ne connais pas du tout. C'est le > m?me genre ?
Attention, je ne veux pas crasher dans la soupe. freeswan a eu le merite d'exister et d'implementer un protocole complexe. C'est aussi la code base la plus utilisee quand on parle de ipsec et de linux. isakmpd implemente ike qui est le key exchange protocol. Freeswan est compose de pluto (ike) et de ipsec (patch kernel), mainteannt remplace par le code ipsec natif. isakmpd a une excellent architecture soft mais il y a une ou l'autre feature qui manquent par rapport a freeswan et dont on a vraiment besoin (named DPD et NAT-T). Mon jugement est principalement fonde sur l'architecture soft plutot que la stabilite de l'ensemble. Cependant, isakmpd est utilis sur la plupart des deployement ipsec avec openbsd, donc il est bien teste aussi. > > > > > Sinon il y a > > > > des alternatives a freeswan: > > > > > > > > $ apt-cache show isakmpd > > > > > > Installer unstable sur une machine en production chez un client pour > > > pouvoir avoir un sous-syst?me que je maitrise mal ? Hem, pas encore > > > assez fou :-) > > > > > > Si sarge voit le jour avant l'impl?mentation pq pas, mais sinon,... > > > > backport mon amis, backports ;) > > Pour un truc aussi central dans la s?curit? d'une machine ou d'un > syst?me, j'aimerais me reposer sur l'infrastructure s?curit? de debian. > D'autant plus qu'il faut aussi un kernel adapt? si j'ai bien lu la > description. Pour freeswan aussi. > > > > > Package: isakmpd > > > > Priority: optional > > > > Section: net > > > > Installed-Size: 1116 > > > > Maintainer: Jean-Francois Dive <[EMAIL PROTECTED]> > > > > Architecture: sparc > > > > Version: 20040204-1 > > > > Provides: ike-server > > > > Depends: libc6 (>= 2.3.2.ds1-4), libgmp3, libkeynote0, libssl0.9.7, libkeynote0 > > > > Filename: pool/main/i/isakmpd/isakmpd_20040204-1_sparc.deb > > > > Size: 480414 > > > > MD5sum: 3c83abdfe712c7867d2d616a35696ac9 > > > > Description: The Internet Key Exchange protocol openbsd implementation > > > > IKE is a protocol which allow to exchange security information between > > > > to peers. This implementation requires the native linux ipsec support. > > > > > > s/to/two/ :-) > > > > excellent avait jamais vu ;) > > En parlant d'isakmpd, visiblement ?a provient d'openbsd. Y a-t-il un > avantage ? le faire tourner sur le kernel linux plut?t qu'openbsd pour > une machine qui ne ferait que ?a ? > > Merci, > -- > R?mi > > _______________________________________________________ > Linux Mailing List - http://www.unixtech.be > Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux > Archives: http://www.mail-archive.com/[EMAIL PROTECTED] > IRC: chat.unixtech.be:6667 - #unixtech -- -> Jean-Francois Dive --> [EMAIL PROTECTED] I think that God in creating Man somewhat overestimated his ability. -- Oscar Wilde _______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
