Re: [rlug] Ipsec over GRE

Thu, 13 Jul 2006 07:39:39 -0700 

Alexandru GRIGORAS wrote:


On 7/13/06, Mihai <[EMAIL PROTECTED]> wrote:



De ce nu faci tunelul direct cu IPSEC folosind Openswan care vine direct
cu distributia si la kernelul 2.6.15 nu trebuie sa mai pui patch-uri si
sa recompilezi.
Vezi linkul poat ete ajuta
http://www.natecarlson.com/linux/ipsec-x509.php#installing

Mai gasesti si altele pe google



Pentru ca Openswan functioneaza dupa principiul client/server si nu ma
intereseaza asta.
Daca vroiam asta puneam un openvpn ca e mai simplu de configurat.
Plus de asta de ce sa nu folosesc ipsec direct din nucleu si sa incarc
procesorul cu daemoni care
stau si asculta conexiuni?
Ca sa nu mai vorbim de faptul ca asa mi se pare mult mai "cisco like".



1. tunelele ipsec nu au nevoie si de GRE si nici invers. Cei care fac tunel de 
un fel si il incapsuleaza prin tunel de altfel sint cei care nu au citit toata 
documentatia, nu le-a iesit cum trebuie si au inventat workaround-uri pe care 
le-au documentat si le distribuie. si mie cind am trecut de la kernel 2.4 la 
2.6 si am constatat ca au disparut interfetele ipsecN create de openswan mi s-a 
spus ca trebuie sa fac tunele GRE ca sa pot filtra traficul. asta nu inseamna 
ca i-am si crezut pe cei care au spus asta.
2. din cite stiu eu, nu exista vreo distributie care sa includa openswan. exista pachete 
facute pt diverse distributii, dar nu sint incluse. in RHEL spre pilda, configurarea 
"ca la carte" se face creind interfete numite ifcfg-ipsecN, identice
3. openswan (si racoon) NU functioneaza citusi de putin pe principiul client server. ambele capete ale conexiunii ipsec au configurarea 100% identica si sint la fel de servere sau de client, daca imi e permis acest grad de comparatie. da, poti folosi racoon direct din kernel. cu openswan se administreaza un pic altfel, dar pe kernel 2.6 efectul e identic. 
4. cine te-a pacalit ca openvpn e mai simplu de configurat ? (a nu se intelege 
ca nu ar fi simplu!)
5. cui ii pasa de ceea ce face sau cum face cisco ??



_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug

Raspunde prin e-mail lui