IPSEC, Racoon och dynamiska adresser!

Niklas Hallqvist niklas at hallqvist.se
Thu Oct 15 22:27:17 CEST 2009


Wow!

Lätt att debugga!  När jag skrev isakmpd tyckte jag inte alltid det var 
lätt precis :-)
Men det är kul att höra.  Killarna som har tagit över efter mig har 
gjort ett riktigt bra
arbete med konfigurationen, vilket var nödvändigt.  Jag skrev ju 
egentligen den för att
ett försystem skulle generera konfigurationer (isakmpd ingick i ett större
Ericsson-finansierat projekt, och var inte omedelbart avsett för att 
vara lättkonfigurerat
för "vanliga dödliga", snarare var det viktigt att allt som ingick i 
RFCerna skulle kunna
konfigureras upp, även esoteriska prylar, vilket gjorde det ursprungliga 
konfig-gränsnittet
mer än nyttigt komplext.

Fråga mig inte om isakmpd-detaljer nu bara, hade inte tittat på koden på 
4-5 år tror jag,
förrän jag helt orelaterat fick en fråga om såsen i förrgår, och var 
tvungen att titta.
Ögonen brann dock inte upp, vilket väl var ett bra betyg :-)

Niklas

Leif Larsson wrote:
> Med risk för att avvika lite från ämnet... Men jag tycker att isakmpd 
> (OpenBSD:s IKE demon) är mycket enklare än Racoon och dessutom lätt att 
> förstå/debugga. Den finns i ports....
>
> /Leif
>
> Anders Troback wrote:
>   
>> Den Thu, 15 Oct 2009 16:00:55 +0200
>> skrev Janne Johansson <jj at it.su.se>:
>>
>>     
>>> Anders Troback wrote:
>>>       
>>>> Innan jag skriver för mycket i onödan så frågar jag först bara:
>>>> Är det någon här som vet hur man kan köra IPSEC mellan två FreeBSD
>>>> burkar där en av dem har dynamiskt IP nummer?
>>>>         
>>> Är inte det bara det sedvanliga "Road Warrior" som man säger på ipsec,
>>> dvs ena ändpunkten är din resande säljare och den andra ditt kontor?
>>>
>>> Oftast löser man (väl?) det genom att man anger UFQDN som
>>> identifierare för den rörliga änden, typ user at test.se så ipsec-d:n
>>> kan skilja olika resanden åt.
>>>
>>>       
>> Jo det är precis så jag menar!
>>
>> Jag använder x509 cert samt att jag ett användarnamn+passwd från
>> systemet och allt det där funkar dvs att jag kommer in och på min
>> klient (om vi kallar den det, burken som har dynamisk IP) skapas SPDer
>> men inga på min server (den med statisk IP). Fattar inte hur man ska
>> sätta upp dem på servern och jag tror att det är ett måste för att det
>> ska funka!
>>
>> Jag är lite ny på det här med IPSEC och dynamisk IP nummer och är inte
>> helt säker på att det verkligen behövs men det känns så och frågan är
>> nog mest, hur fixar man dem!? Det är ju lätt när båda sidor har
>> statiska IP nummer men det här andra är lite knepigare...!
>>
>>
>> Alla tips är välkomna, och särskilt fungerande konf filer:-)
>>
>>
>> \\anders
>>
>>     
> _________________________________________________
> BSD Users Sweden -- BUS at stacken.kth.se
> https://lists.stacken.kth.se/mailman/listinfo/bus
>   



More information about the BUS mailing list