форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"IPSEC без Racoona"

Сообщение от Max (??) on 03-Дек-06, 21:14

Возможно ли создать ВПН соединение без использования ракуна и прочих демонов VPN? Интересует классический вариант ESP.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "IPSEC без Racoona"

Сообщение от Max (??) on 04-Дек-06, 20:42

>Возможно ли создать ВПН соединение без использования ракуна и прочих демонов VPN? >Интересует классический вариант ESP. ап

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "IPSEC без Racoona"
	Сообщение от Max (??) on 05-Дек-06, 22:33
	>>Возможно ли создать ВПН соединение без использования ракуна и прочих демонов VPN? >>Интересует классический вариант ESP. > > >ап up
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "IPSEC без Racoona"
	Сообщение от yurkar (ok) on 06-Дек-06, 12:32
	>>>Возможно ли создать ВПН соединение без использования ракуна и прочих демонов VPN? >>>Интересует классический вариант ESP. >> >> >>ап >up А в чем проблема-то?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "IPSEC без Racoona"
	Сообщение от Max (??) on 06-Дек-06, 17:04
	>>>>Возможно ли создать ВПН соединение без использования ракуна и прочих демонов VPN? >>>>Интересует классический вариант ESP. >>> >>> >>>ап >>up > > >А в чем проблема-то? проблема в следующем, сомнительно мне поднимать демон обена ключами, на критически важном линке, хочется просто по прешареным ключам шифровать трафик без дополнительных демонов (которые имеют свойство иногда падать) сделать шифрование.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "IPSEC без Racoona"

Сообщение от ipmanyak (??) on 06-Дек-06, 14:04

>Возможно ли создать ВПН соединение без использования ракуна и прочих демонов VPN? >Интересует классический вариант ESP. не проще кинуть простой туннель ip-ip ? Обязательно шифровать ? http://blog.kovyrin.net/2006/03/17/how-to-create-ip-ip-tunnel-between-freebsd-and-linux/lang/ru/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "IPSEC без Racoona"
	Сообщение от Max (??) on 06-Дек-06, 17:06
	>>Возможно ли создать ВПН соединение без использования ракуна и прочих демонов VPN? >>Интересует классический вариант ESP. >не проще кинуть простой туннель ip-ip ? Обязательно шифровать ? >http://blog.kovyrin.net/2006/03/17/how-to-create-ip-ip-tunnel-between-freebsd-and-linux/lang/ru/ ip-ip туннель уже есть, но инкапсуляция не спасет от просмотра третьими лицами передаваемых данных и встал вопрос в шифровании, нужно шифровать трафик без ракуна, возможно ли это?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "IPSEC без Racoona"
	Сообщение от yurkar (ok) on 06-Дек-06, 17:56
	>>>Возможно ли создать ВПН соединение без использования ракуна и прочих демонов VPN? >>>Интересует классический вариант ESP. >>не проще кинуть простой туннель ip-ip ? Обязательно шифровать ? >>http://blog.kovyrin.net/2006/03/17/how-to-create-ip-ip-tunnel-between-freebsd-and-linux/lang/ru/ > >ip-ip туннель уже есть, но инкапсуляция не спасет от просмотра третьими лицами >передаваемых данных и встал вопрос в шифровании, нужно шифровать трафик без >ракуна, возможно ли это? Ага... Я понял тебя... Тогда все достаточно просто. Пишешь ipsec.conf слудующего содержания: На шлюз1: flush; spdflush; add сеть1/24 сеть2/24 esp 1010 -E blowfish-cbc "yoursecretpassword"; add сеть2/24 сеть1/24 esp 1011 -E blowfish-cbc "yoursecretpassword"; add сеть1/24 сеть2/24 ah 1115  -A hmac-sha1 "yourverysecretpassword"; add сеть2/24 сеть1/24 ah 1116  -A hmac-sha1 "yourverysecretpassword"; spdadd сеть1/24 сеть2/24 any -P out ipsec esp/tunnel/айпи_шлюза1-айпи_шлюза2/require ah/tunnel/айпи_шлюза1-айпи_шлюза2/use; spdadd сеть2/24 сеть1/24 any -P in ipsec esp/tunnel/айпи_шлюза2-айпи_шлюза1/require ah/tunnel/айпи_шлюза2-айпи_шлюза1/use; На шлюз2 - vice versa с айпи - ну, ты понял, я думаю. А в rc.conf: ipsec_enable="YES" ipsec_file="/etc/ipsec.conf" #или где он там у тебя лежит. В ядре: option IPSEC option IPSEC_ESP option IPSEC_DEBUG Попробуй и отпишись о результате - должно такое работать по идее...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "IPSEC без Racoona"
	Сообщение от Max (??) on 06-Дек-06, 20:34
	>>>>Возможно ли создать ВПН соединение без использования ракуна и прочих демонов VPN? >>>>Интересует классический вариант ESP. >>>не проще кинуть простой туннель ip-ip ? Обязательно шифровать ? >>>http://blog.kovyrin.net/2006/03/17/how-to-create-ip-ip-tunnel-between-freebsd-and-linux/lang/ru/ >> >>ip-ip туннель уже есть, но инкапсуляция не спасет от просмотра третьими лицами >>передаваемых данных и встал вопрос в шифровании, нужно шифровать трафик без >>ракуна, возможно ли это? > > >Ага... Я понял тебя... Тогда все достаточно просто. Пишешь ipsec.conf слудующего содержания: > > >На шлюз1: >flush; >spdflush; >add сеть1/24 сеть2/24 esp 1010 -E blowfish-cbc "yoursecretpassword"; >add сеть2/24 сеть1/24 esp 1011 -E blowfish-cbc "yoursecretpassword"; >add сеть1/24 сеть2/24 ah 1115  -A hmac-sha1 "yourverysecretpassword"; >add сеть2/24 сеть1/24 ah 1116  -A hmac-sha1 "yourverysecretpassword"; >spdadd сеть1/24 сеть2/24 any -P out ipsec >esp/tunnel/айпи_шлюза1-айпи_шлюза2/require >ah/tunnel/айпи_шлюза1-айпи_шлюза2/use; >spdadd сеть2/24 сеть1/24 any -P in ipsec >esp/tunnel/айпи_шлюза2-айпи_шлюза1/require >ah/tunnel/айпи_шлюза2-айпи_шлюза1/use; > >На шлюз2 - vice versa с айпи - ну, ты понял, я >думаю. > >А в rc.conf: > >ipsec_enable="YES" >ipsec_file="/etc/ipsec.conf" #или где он там у тебя лежит. > >В ядре: > >option IPSEC >option IPSEC_ESP >option IPSEC_DEBUG > >Попробуй и отпишись о результате - должно такое работать по идее... ВОТ! Ну спасибо, как попробую отпишу обязательно!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "IPSEC без Racoona"
	Сообщение от Skif (??) on 07-Дек-06, 02:25
	Хм, интересное решение, а я всегда с racoon заморачивался...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "IPSEC без Racoona"
	Сообщение от Max (??) on 07-Дек-06, 16:28
	И так отчёт о проделанной работе: Завелось всё на следующей конфигурации: ipsec.conf Первого шлюза: ######################### flush; spdflush; #ESP add 10.10.0.1 10.22.0.1 esp 1010 -E blowfish-cbc "test12345678901234567890"; add 10.22.0.1 10.10.0.1 esp 1011 -E blowfish-cbc "test12345678901234567890"; #AH add 10.10.0.1 10.22.0.1 ah 1234 -A hmac-sha1 "12345678901234567890"; add 10.22.0.1 10.10.0.1 ah 1235 -A hmac-sha1 "12345678901234567890"; #Security Policy Database spdadd 10.10.0.0/24 10.22.0.0/24 any -P in ipsec esp/tunnel/10.10.0.1-10.22.0.1/require ah/tunnel/10.10.0.1-10.22.0.1/use; spdadd 10.22.0.0/24 10.10.0.0/24 any -P out ipsec esp/tunnel/10.22.0.1-10.10.0.1/require ah/tunnel/10.22.0.1-10.10.0.1/use; ipsec.conf Второго шлюза: ######################### flush; spdflush; #ESP add 10.10.0.1 10.22.0.1 esp 1010 -E blowfish-cbc "test12345678901234567890"; add 10.22.0.1 10.10.0.1 esp 1011 -E blowfish-cbc "test12345678901234567890"; #AH add 10.10.0.1 10.22.0.1 ah 1234 -A hmac-sha1 "12345678901234567890"; add 10.22.0.1 10.10.0.1 ah 1235 -A hmac-sha1 "12345678901234567890"; #Security Policy Database spdadd 10.22.0.0/24 10.10.0.0/24 any -P in ipsec esp/tunnel/10.22.0.1-10.10.0.1/require ah/tunnel/10.22.0.1-10.10.0.1/use; spdadd 10.10.0.0/24 10.22.0.0/24 any -P out ipsec esp/tunnel/10.10.0.1-10.22.0.1/require ah/tunnel/10.10.0.1-10.22.0.1/use;
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "IPSEC без Racoona"
	Сообщение от yurkar (ok) on 07-Дек-06, 17:07
	Ну и отлично! Потом уже увидел, что я в приведенном мною конфиге в записях add попутал сети с реальными адресами... Спасибо, что проверил :) Только вот в политиках spdadd как правило сначала указывают туннель out, а уже потом in, но если работает - то енто мелочи.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "IPSEC без Racoona"
	Сообщение от Max (??) on 07-Дек-06, 17:46
	>Ну и отлично! Потом уже увидел, что я в приведенном мною конфиге >в записях add попутал сети с реальными адресами... Спасибо, что проверил >:) Только вот в политиках spdadd как правило сначала указывают туннель >out, а уже потом in, но если работает - то енто >мелочи. единственно
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "IPSEC без Racoona"
	Сообщение от Max (??) on 07-Дек-06, 17:48
	>>Ну и отлично! Потом уже увидел, что я в приведенном мною конфиге >>в записях add попутал сети с реальными адресами... Спасибо, что проверил >>:) Только вот в политиках spdadd как правило сначала указывают туннель >>out, а уже потом in, но если работает - то енто >>мелочи. единственное что напрягло так это ограничение на длину ключей алгоритмов ESP и AH, но в мане этот вопрос хорошо раскрыт.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]