IPSEC, Racoon och dynamiska adresser!

Niklas Hallqvist niklas at hallqvist.se
Wed Oct 21 22:54:18 CEST 2009 

Anders Troback wrote:
> Den Wed, 21 Oct 2009 15:54:14 +0200
> skrev Niklas Hallqvist <niklas at appli.se>:
>
>   
>> Även om jag personligen inte blir alls ledsen av sådana här
>> kommentarer, tvärtom,
>> skulle jag vilja be att vi försöker undvika advocacy på denna lista.  
>> Gärna tekniska jämförelser etc,
>> eller frågor som: hur gör jag samma sak i FooBSD, som jag gör så här
>> i BarBSD?
>>
>> Men jag skulle trötnna snabbt att läsa denna lista om det blir
>> onödigt brus om vem son har störst BSD.
>>
>> Ha de,
>> Niklas
>>
>> Joakim Aronius wrote:
>>     
>>> Helt rätt, OpenBSD rockar fett :)
>>>
>>> /J
>>>
>>> * Anders Troback (freebsd at troback.com) wrote:
>>>   
>>>       
>>>> Nej då jag tycker själv att de är bra på olika saker men jag håller
>>>> just nu på att lära mig OBSD så jag testar det på min laptop just
>>>> nu och den funkar bättre med OBSD än FBSD vad det gäller trådlöst
>>>> och X!
>>>>
>>>> \\anders
>>>>
>>>>
>>>> Den Wed, 21 Oct 2009 13:28:09 +0200
>>>> skrev "Johan Landerholm" <johan at landerholm.net>:
>>>>
>>>>     
>>>>         
>>>>> Hej Anders,
>>>>>
>>>>> Jag hoppas du inte ser Free och Open som direkta alternativ -
>>>>> FreeBSD använder man ju främst för applikationer, prestanda och
>>>>> näthastighet. OpenBSD används ju nästan uteslutande till
>>>>> säkerhet, VPN, brandväggar, lastdelning och andra nät/säk
>>>>> relaterade saker.
>>>>>
>>>>> /Johan
>>>>>
>>>>>       
>>>>>           
>>>>>> Tack för tipset, funkar jätte bra och var som du sa lätt! retar
>>>>>> mig mest på att jag inte kollat på det innan och kastade bort
>>>>>> flera dagar på racoon!
>>>>>>
>>>>>> Måste passa på och säga att jag var inte OpenBSD användare innan
>>>>>> utan jag har använt FreeBSD sedan 4.X men jag är väldigt
>>>>>> imponerad av OpenBSD och har bytt ut några FreeBSD burkar mot
>>>>>> OpenBSD!
>>>>>>
>>>>>> Tack igen!
>>>>>>
>>>>>>
>>>>>> \\anders
>>>>>>
>>>>>>             
>
> Har inte hunnit fatta det där med ipsecctl riktigt men om man nu
> använder det, vilket jag gör, kan man då ansluta med en "vanlig" isakmpd
> eller något annat som tex raccon eller kanske tom Shrew?
>
> \\anders
>
>   
Om jag tolkar dig rätt så undrar du om dina "peers" kan ansluta till dig 
om du kör OpenBSD/isakmpd/ipsecctl?  Javisst.  Ipsec och ISAKMPD/Oakley 
(IKE) är standards som utvecklades med rätt täta interoptester mellan 
leverantörer (jag har deltagit på en del, och som den med bäst 
debug-printouts, hjälpt till att hitta andras buggar bid dessa 
tillfällen :-) ).  Dock, standarderna är komplexa, och trots dessa 
workshops så finns det en delproblem man kan stöta på mellan olika 
implementationer.  Bl.a. är närmandet mot hur man ska konfigurera Ipsec 
drastiskt olika, och det kan vara svårt att förstå hur en konfig på A, 
ska se ut för att få en kompatibel konfig på B.

Om du menar att du använder ipsecctl för att skapa manuella SAs, då kan 
du inte ansluta med en IKE-implementation, då får du hitta manuella 
konfigmöjligheter hos din peer också. Men ipsecctl kan både skapa 
manuella SAs och automatiska.  Vi vet ju inte riktigt hur du använder 
ipsecctl.

ipsecctl är bara en konfigurations-utility, som tolkar ett trevligt 
konfig-språk och översätter det till antingen PF_KEY operationer mot 
kärnan (manuella SAs), eller till isakmpd UI FIFO-kommandon (för 
automatiska dito).

More information about the BUS mailing list