URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 70697
[ Назад ]
Исходное сообщение
"IPSEC без Racoona"
Отправлено Max , 03-Дек-06 21:14 
Возможно ли создать ВПН соединение без использования ракуна и прочих демонов VPN? Интересует классический вариант ESP.
Содержание
Сообщения в этом обсуждении
"IPSEC без Racoona"
Отправлено Max , 04-Дек-06 20:42 
>Возможно ли создать ВПН соединение без использования ракуна и прочих демонов VPN?
>Интересует классический вариант ESP.


ап

"IPSEC без Racoona"
Отправлено Max , 05-Дек-06 22:33 
>>Возможно ли создать ВПН соединение без использования ракуна и прочих демонов VPN?
>>Интересует классический вариант ESP.
>
>
>ап
up
"IPSEC без Racoona"
Отправлено yurkar , 06-Дек-06 12:32 
>>>Возможно ли создать ВПН соединение без использования ракуна и прочих демонов VPN?
>>>Интересует классический вариант ESP.
>>
>>
>>ап
>up


А в чем проблема-то?

"IPSEC без Racoona"
Отправлено Max , 06-Дек-06 17:04 
>>>>Возможно ли создать ВПН соединение без использования ракуна и прочих демонов VPN?
>>>>Интересует классический вариант ESP.
>>>
>>>
>>>ап
>>up
>
>
>А в чем проблема-то?

проблема в следующем, сомнительно мне поднимать демон обена ключами, на критически важном линке, хочется просто по прешареным ключам шифровать трафик без дополнительных демонов (которые имеют свойство иногда падать) сделать шифрование.

"IPSEC без Racoona"
Отправлено ipmanyak , 06-Дек-06 14:04 
>Возможно ли создать ВПН соединение без использования ракуна и прочих демонов VPN?
>Интересует классический вариант ESP.
не проще кинуть простой туннель ip-ip ? Обязательно шифровать ?
http://blog.kovyrin.net/2006/03/17/how-to-create-ip-ip-tunne.../

"IPSEC без Racoona"
Отправлено Max , 06-Дек-06 17:06 
>>Возможно ли создать ВПН соединение без использования ракуна и прочих демонов VPN?
>>Интересует классический вариант ESP.
>не проще кинуть простой туннель ip-ip ? Обязательно шифровать ?
>http://blog.kovyrin.net/2006/03/17/how-to-create-ip-ip-tunne.../

ip-ip туннель уже есть, но инкапсуляция не спасет от просмотра третьими лицами передаваемых данных и встал вопрос в шифровании, нужно шифровать трафик без ракуна, возможно ли это?

"IPSEC без Racoona"
Отправлено yurkar , 06-Дек-06 17:56 
>>>Возможно ли создать ВПН соединение без использования ракуна и прочих демонов VPN?
>>>Интересует классический вариант ESP.
>>не проще кинуть простой туннель ip-ip ? Обязательно шифровать ?
>>http://blog.kovyrin.net/2006/03/17/how-to-create-ip-ip-tunne.../
>
>ip-ip туннель уже есть, но инкапсуляция не спасет от просмотра третьими лицами
>передаваемых данных и встал вопрос в шифровании, нужно шифровать трафик без
>ракуна, возможно ли это?


Ага... Я понял тебя... Тогда все достаточно просто. Пишешь ipsec.conf слудующего содержания:

На шлюз1:
flush;
spdflush;
add сеть1/24 сеть2/24 esp 1010 -E blowfish-cbc "yoursecretpassword";
add сеть2/24 сеть1/24 esp 1011 -E blowfish-cbc "yoursecretpassword";
add сеть1/24 сеть2/24 ah 1115  -A hmac-sha1 "yourverysecretpassword";
add сеть2/24 сеть1/24 ah 1116  -A hmac-sha1 "yourverysecretpassword";
spdadd сеть1/24 сеть2/24 any -P out ipsec
esp/tunnel/айпи_шлюза1-айпи_шлюза2/require
ah/tunnel/айпи_шлюза1-айпи_шлюза2/use;
spdadd сеть2/24 сеть1/24 any -P in ipsec
esp/tunnel/айпи_шлюза2-айпи_шлюза1/require
ah/tunnel/айпи_шлюза2-айпи_шлюза1/use;

На шлюз2 - vice versa с айпи - ну, ты понял, я думаю.

А в rc.conf:

ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf" #или где он там у тебя лежит.

В ядре:

option IPSEC
option IPSEC_ESP
option IPSEC_DEBUG

Попробуй и отпишись о результате - должно такое работать по идее...

"IPSEC без Racoona"
Отправлено Max , 06-Дек-06 20:34 
>>>>Возможно ли создать ВПН соединение без использования ракуна и прочих демонов VPN?
>>>>Интересует классический вариант ESP.
>>>не проще кинуть простой туннель ip-ip ? Обязательно шифровать ?
>>>http://blog.kovyrin.net/2006/03/17/how-to-create-ip-ip-tunne.../
>>
>>ip-ip туннель уже есть, но инкапсуляция не спасет от просмотра третьими лицами
>>передаваемых данных и встал вопрос в шифровании, нужно шифровать трафик без
>>ракуна, возможно ли это?
>
>
>Ага... Я понял тебя... Тогда все достаточно просто. Пишешь ipsec.conf слудующего содержания:
>
>
>На шлюз1:
>flush;
>spdflush;
>add сеть1/24 сеть2/24 esp 1010 -E blowfish-cbc "yoursecretpassword";
>add сеть2/24 сеть1/24 esp 1011 -E blowfish-cbc "yoursecretpassword";
>add сеть1/24 сеть2/24 ah 1115  -A hmac-sha1 "yourverysecretpassword";
>add сеть2/24 сеть1/24 ah 1116  -A hmac-sha1 "yourverysecretpassword";
>spdadd сеть1/24 сеть2/24 any -P out ipsec
>esp/tunnel/айпи_шлюза1-айпи_шлюза2/require
>ah/tunnel/айпи_шлюза1-айпи_шлюза2/use;
>spdadd сеть2/24 сеть1/24 any -P in ipsec
>esp/tunnel/айпи_шлюза2-айпи_шлюза1/require
>ah/tunnel/айпи_шлюза2-айпи_шлюза1/use;
>
>На шлюз2 - vice versa с айпи - ну, ты понял, я
>думаю.
>
>А в rc.conf:
>
>ipsec_enable="YES"
>ipsec_file="/etc/ipsec.conf" #или где он там у тебя лежит.
>
>В ядре:
>
>option IPSEC
>option IPSEC_ESP
>option IPSEC_DEBUG
>
>Попробуй и отпишись о результате - должно такое работать по идее...


ВОТ! Ну спасибо, как попробую отпишу обязательно!

"IPSEC без Racoona"
Отправлено Skif , 07-Дек-06 02:25 
Хм, интересное решение, а я всегда с racoon заморачивался...
"IPSEC без Racoona"
Отправлено Max , 07-Дек-06 16:28 
И так отчёт о проделанной работе:
Завелось всё на следующей конфигурации:

ipsec.conf Первого шлюза:
#########################
flush;
spdflush;
#ESP
add 10.10.0.1 10.22.0.1 esp 1010 -E blowfish-cbc "test12345678901234567890";
add 10.22.0.1 10.10.0.1 esp 1011 -E blowfish-cbc "test12345678901234567890";
#AH
add 10.10.0.1 10.22.0.1 ah 1234 -A hmac-sha1 "12345678901234567890";
add 10.22.0.1 10.10.0.1 ah 1235 -A hmac-sha1 "12345678901234567890";
#Security Policy Database
spdadd 10.10.0.0/24 10.22.0.0/24 any -P in ipsec esp/tunnel/10.10.0.1-10.22.0.1/require ah/tunnel/10.10.0.1-10.22.0.1/use;
spdadd 10.22.0.0/24 10.10.0.0/24 any -P out ipsec esp/tunnel/10.22.0.1-10.10.0.1/require ah/tunnel/10.22.0.1-10.10.0.1/use;


ipsec.conf Второго шлюза:
#########################
flush;
spdflush;
#ESP
add 10.10.0.1 10.22.0.1 esp 1010 -E blowfish-cbc "test12345678901234567890";
add 10.22.0.1 10.10.0.1 esp 1011 -E blowfish-cbc "test12345678901234567890";
#AH
add 10.10.0.1 10.22.0.1 ah 1234 -A hmac-sha1 "12345678901234567890";
add 10.22.0.1 10.10.0.1 ah 1235 -A hmac-sha1 "12345678901234567890";
#Security Policy Database
spdadd 10.22.0.0/24 10.10.0.0/24 any -P in ipsec esp/tunnel/10.22.0.1-10.10.0.1/require ah/tunnel/10.22.0.1-10.10.0.1/use;
spdadd 10.10.0.0/24 10.22.0.0/24 any -P out ipsec esp/tunnel/10.10.0.1-10.22.0.1/require ah/tunnel/10.10.0.1-10.22.0.1/use;

"IPSEC без Racoona"
Отправлено yurkar , 07-Дек-06 17:07 
Ну и отлично! Потом уже увидел, что я в приведенном мною конфиге в записях add попутал сети с реальными адресами... Спасибо, что проверил :) Только вот в политиках spdadd как правило сначала указывают туннель out, а уже потом in, но если работает - то енто мелочи.
"IPSEC без Racoona"
Отправлено Max , 07-Дек-06 17:46 
>Ну и отлично! Потом уже увидел, что я в приведенном мною конфиге
>в записях add попутал сети с реальными адресами... Спасибо, что проверил
>:) Только вот в политиках spdadd как правило сначала указывают туннель
>out, а уже потом in, но если работает - то енто
>мелочи.
единственно

"IPSEC без Racoona"
Отправлено Max , 07-Дек-06 17:48 
>>Ну и отлично! Потом уже увидел, что я в приведенном мною конфиге
>>в записях add попутал сети с реальными адресами... Спасибо, что проверил
>>:) Только вот в политиках spdadd как правило сначала указывают туннель
>>out, а уже потом in, но если работает - то енто
>>мелочи.
единственное что напрягло так это ограничение на длину ключей алгоритмов ESP и AH, но в мане этот вопрос хорошо раскрыт.