Andrei Mirea wrote: > > >On Fri, 27 May 2005, Dan Uscatu wrote: > > > >>salut >> >>pina acum faceam tunele cu freeswan, care imi ridica frumos o interfata >>ipsec0 pe care puteam face rute, monitorizare de trafic sau alte dracii. >>ieri am incercat sa fac un tunel cu racoon (fc3). foarte multumit ca a >>mers simplu si rapid, am dat sa imi fac rutele si monitorizarile cind... >>surpriza: nu mai exista ipsec0 sau orice alta interfata in plus. totul e >>transparent. >> >> > >da, sunt 2 lucruri distincte (pe care freeswan-ul le servea impreuna): >tunnel-ul si cryptarea traficului intre 2 puncte. > > corect. de aia openswan a ramas preferatul meu si cind am trecut la kernel 2.6
>>intrebari: >> >>- cum rutez traficul din reteaua locala catre vpn ? am pus o ruta cu >>destinatia reteaua remote si gw ip-ul intern al vpn gatewayului, dar >>primesc doar host unreachable. de pe vpn gateway pot accesa reteaua >>remote (ping, lynx, dar nu traceroute). >> >> > >nu trebuie sa routezi nimic catre lan-ul remote, ai configurat asta in >setkey (nu?). >Daca totusi ai nevoie sa routezi si sa ai ceva gen freeswan ridici un >tunnel intre gatway-uri, gre/ipip (la alegere), si faci ipsec-ul intre >capetele tunelului (deci traficul cryptat va merge prin tunnel). De aici >se reduce la problema precedenta (freeswan like). > > cih. tunel in tunel? eventual foloseste ssh -L/-R intre masinile de la capetete tunelului :) >>- cum monitorizez traficul vpn, diferentiat de restul de trafic ? pina >>acum bagam snmp+mrtg/rrd pe ipsec0 respectiv eth0 >> >cu ridicarea unui tunel (gre/ipip dupa cum ziceam mai sus) pe care il >monitorizezi prin snmp (de exemplu) ca orice interfata. > >monitorizarea pachetelor ah/esp merge doar daca ai un singur "tunnel" >ipsec > > merge f bine daca filtrezi si dupa IP-uri, nu numai dupa tipul de trafic. iptables -j MARK rulz. incapsularea unui protocol in alt protocol (GRE in ah/esp) e o solutie, dar departe de a fi cea mai buna. ma rog, poate e cea mai buna in cazurile altora, mie mi s-a parut shitty. plus ca depinzi de posibilitatea de a controla ambele capete ale conexiunii. Ce te faci cind un capat de ipsec e la tine, dar celalalt e la altcineva, care are de pilda cisco/CP/stonegate iar tu ai zero control acolo ? (da, stiu ca si cisco stie de tunele GRE.. dar cind ai un concentrator VPN la care ti se leaga citeva zeci/sute/mii de insi, s-ar putea sa nu fii de acord ca pt unul anume sa faci setari speciale, doar fiindca ala vrea gre over esp) --- Detalii despre listele noastre de mail: http://www.lug.ro/
