VPN L2TP/Racoon/IPSec

[Dan Lukes]

mytrix napsal/wrote, On 04/28/05 14:13:
> No je to opravdu dělané podle toho návodu, který jsem uvedl. Server je
> samozřejmě fBSD, klient jsou WINXP. Tou politikou bylo myšleno politiku pro
> kornel, co má s jakým packetem udělat. Zadávalo se:
> 
> --------------
> spdadd 0.0.0.0/0 ip.vpn.serveru [1701] any -P out ipsec
> esp/transport//require ;
> spdadd ip.vpn.serveru [1701] 0.0.0.0/0 any -P in ipsec
> esp/transport//require ;
> --------------

	No, dobre, ale stale jeste zbyva nakonfigurovat ten IPSEC na strane 
Windows. Netvrdim, ze jsem jejich obzvlastni znalec, ale mam dojem, ze v 
defaultni konfiguraci neni IPSEC vubec aktivni. A, prinejmensim, musite 
nakonfigurovat PSK. Takze se stejne konfiguraci IPSEC nevyhnete - a kdyz 
uz ji delate, tak proc jako cely tunel nepouzit tu ...

	Nicmene, ja nemam zadnou zkusenost se zadavanim adresy 0.0.0.0/0 v 
konfiguraci - ja tam vzdy pouzival prislusnou pevnou adresu klienta. 
Jestli se nepletu, tak PSK metodu stejne nelze pouzit jinak, nez s 
pevnou, predem znamou adresou, ne ?

	Zbytek uz je pravdepodobne jen v nesouladu konfigurace Windows 
(nabizejicich jen obycejny DES) a konfiguraci racoona (vyzadujici 3DES). 
Ja si myslim, ze by bylo zadouci projit konfigurace obe, ale 
pravdepodobne by melo stacit postourat i jen konfiguraci racoona.


> bych vás ještě požádat, zda by jste mi nemohl napsat, jak by jste to řešil
> vy. Protože máte pravdu v tom, že chci provést připojení klientů bez použití
> klientského softu třetích stran a to pokud možno co nejjednodušeji. Možná
> tedy existuje schůdnější cesta, než jsem zvolil já. Nevím třeba openSWAN by
> bylo v tomto případě jednodušší, ale tak daleko už do problematiky nevidím.

	Kdyz pouzijete OpenSWAN, nesplnite podminku zakazu software tretich stran.

	Tam, kde mi jde o maximalni jednoduchost, tam pouzivam interniho PPTP 
klienta vetsus MPD na strane FreeBSD. Problem je, ze od XP pocinaje se 
tato kombinace nekdy trochu zadrhava. POPTOP mi nejak nevyhovoval nikdy, 
ale uz si nepamatuju, co bylo presne duvod.

	S masivnim nastupem XP, nebo tam, kde byly zvysene naroky na 
bezpecnost, tam pouzivame OpenVPN v2.x. Me ten software tretich stran 
zas tolik nevadi. Ma to dobry duvod take v tom, ze zahy zjistite, ze 
existuji "takyISP", kteri vam prodaji neco, cemu rikaji pripojeni k 
Internetu, ale v praxi tam moznost pouzivat IP nemate - v lepsim pripade 
muzete pouzivat jen TCP a UDP, v horsim pak dokonce jen TCP. A z 
takovych mist vam PPTP (pouzivajici GRE) ani IPSEC (ESP) chodit nebude. 
OpenVPN ano, i kdyz tunelovat IP over TCP je krajne neefektivni.

	Nainstalovat ho je velmi jednoduche, bezi transparentne, aniz by o nem 
uzivatel musel vedet a konfigurace probiha nakopirovanim tri souboru. 
Pravda je, ze u nas tak zavazne kroky, jako je konfigurace site obvykle 
uzivatele neprovadeji sami. Na druhou stranu, tohle je dost jednoduche 
nato, aby to zvladli, kdyz jim nekdo konfiguraci predpripravi. A to zas, 
na druhou stranu, muze byt i nejaky automaticky script a oni si 
konfiguraci stahnout nekde z WWW ...

	To uz ale opoustime sferu FreeBSD ...

						Dan