* [devel] Re: [d-kernel] IPSec
2003-07-23 14:48 [devel] IPSec Denis Ovsienko
@ 2003-07-23 14:27 ` Ed V. Bartosh
2003-07-23 16:02 ` Denis Ovsienko
0 siblings, 1 reply; 5+ messages in thread
From: Ed V. Bartosh @ 2003-07-23 14:27 UTC (permalink / raw)
To: ALT Linux kernel packages development; +Cc: devel
>>>>> "DO" == Denis Ovsienko writes:
DO> Готов kernel-modules-ipsec_tunnel-std-up-0.9-alt1.0.src.rpm Из
DO> него собираются:
DO> kernel-modules-ipsec_tunnel-std-up-0.9-alt1.0.i586.rpm
DO> ipsecadm-0.9-alt1.0.i586.rpm
Оч хорошо, спасибо.
DO> Первый --- модуль IPSec для kernel-image-std-up-2.4.21rel-alt6
DO> Второй --- админтул для модуля После установки имеем возможность
DO> получить статические туннели IPSec с shared static keys.
Статические - это как ?
А поддержка x.509 ожидается ? Что там есть из enc-alg, auth-algs ?
А чем это круче, чем FreeS/WAN ?
--
Best regards,
Ed V. Bartosh
^ permalink raw reply [flat|nested] 5+ messages in thread
* [devel] IPSec
@ 2003-07-23 14:48 Denis Ovsienko
2003-07-23 14:27 ` [devel] Re: [d-kernel] IPSec Ed V. Bartosh
0 siblings, 1 reply; 5+ messages in thread
From: Denis Ovsienko @ 2003-07-23 14:48 UTC (permalink / raw)
To: devel-kernel; +Cc: devel
Итак, получилось. Что конкретно:
За образец брался kernel-modules-sensors-std-up-2.7.0-alt5
Готов kernel-modules-ipsec_tunnel-std-up-0.9-alt1.0.src.rpm
Из него собираются:
kernel-modules-ipsec_tunnel-std-up-0.9-alt1.0.i586.rpm
ipsecadm-0.9-alt1.0.i586.rpm
Первый --- модуль IPSec для kernel-image-std-up-2.4.21rel-alt6
Второй --- админтул для модуля
После установки имеем возможность получить статические туннели IPSec с
shared static keys. Данный комплект отлично работает с ALM2.0, в который
был топором вбит этот самый модуль (тогда он конфликтовал с FreeS/WAN,
теперь нет), хотя в CryptoAPI поменялись имена модулей.
Теперь логическим завершением работы будет создание ifup-ipsec,
ifdown-ipsec, ifcfg-ipsec1.example и добавление их в net-scripts. Для
net-scripts у меня уже давно готовы такие скрипты для IP-туннелей и
сделана часть работы для миграции net-scripts полностью на iproute2.
src.rpm к заливке готов, единственно что sisyphus_check не находит моего
ключа, да я и сам его не нахожу в alt-gpgkeys :(
Касательно net-scripts: IP-часть я могу отдать хоть сейчас, IPSec ---
надеюсь, к концу недели, а насчёт iproute2 не могу сказать, там я зарылся
в некоторых функциях, нужно несколько свободных дней, которых нет.
Кстати, в рамках iproute2 migration я приделал фичу к ipcalc из
net-scripts. :)
--
DO4-UANIC
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [devel] Re: [d-kernel] IPSec
2003-07-23 14:27 ` [devel] Re: [d-kernel] IPSec Ed V. Bartosh
@ 2003-07-23 16:02 ` Denis Ovsienko
2003-07-24 11:55 ` Marat Khairullin
0 siblings, 1 reply; 5+ messages in thread
From: Denis Ovsienko @ 2003-07-23 16:02 UTC (permalink / raw)
To: ALT Devel discussion list; +Cc: devel-kernel
> DO> Первый --- модуль IPSec для kernel-image-std-up-2.4.21rel-alt6
> DO> Второй --- админтул для модуля После установки имеем возможность
> DO> получить статические туннели IPSec с shared static keys.
> Статические - это как ?
> А поддержка x.509 ожидается ? Что там есть из enc-alg, auth-algs ?
> А чем это круче, чем FreeS/WAN ?
Я зимой был на orange party в офисе и рассказывал. Просьбам моим не вняли
и я собрал его сам, дождавшись, пока устаканится policy и появятся образцы
для подражания. Вот мои соображения:
1. В наших ядрах приложен CryptoAPI patch, в котором имеется всё
необходимое для работы IPSec. В то же время FreeS/WAN дублирует в себе
порядочное подмножество этих функций (отсюда и модуль в 291 КБ). CIPE
вообще, насколько я помню, наполовину работает в user-space. ipsec_tunnel
создаёт туннель средствами ядра.
3. Туннели статические. То есть администратор, определив алгоритмы и ключи
шифрования/подписи в каждом направлении, больше ничего настраивать не
должен.
То есть я не говорю, что это лучше в любой ситуации. Где-то лучше
FreeS/WAN. Для конкретно этого решения очень хорошая область применения
--- постоянный туннель, не зависящий от демонов и работы/неработы DNS,
например, связь 2-х офисов через враждебную/недоверенную сеть. Там, где
начинается динамика, и средства другие. Так что принимая за критерий
соответствие целей полученным результатам, вещь полезная.
2. В качестве cipher/digest может быть выбран любой модуль из
/lib/modules/`uname -r`/kernel/crypto/{ciphers|digests}
Это настоящий IPSec-туннель. Ядрёный ;)
--
DO4-UANIC
^ permalink raw reply [flat|nested] 5+ messages in thread
* [devel] Re: [d-kernel] IPSec
2003-07-23 16:02 ` Denis Ovsienko
@ 2003-07-24 11:55 ` Marat Khairullin
2003-07-24 13:02 ` Denis Ovsienko
0 siblings, 1 reply; 5+ messages in thread
From: Marat Khairullin @ 2003-07-24 11:55 UTC (permalink / raw)
To: ALT Devel discussion list
On Wed, 23 Jul 2003 19:02:13 +0300 (EEST)
Denis Ovsienko <pilot@dgtu.donetsk.ua> wrote:
> Это настоящий IPSec-туннель. Ядрёный ;)
Т.е. это быстрее, чем user-space/daemon ...?
А насколько безопаснее?
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [devel] Re: [d-kernel] IPSec
2003-07-24 11:55 ` Marat Khairullin
@ 2003-07-24 13:02 ` Denis Ovsienko
0 siblings, 0 replies; 5+ messages in thread
From: Denis Ovsienko @ 2003-07-24 13:02 UTC (permalink / raw)
To: ALT Devel discussion list
> > Это настоящий IPSec-туннель. Ядрёный ;)
> Т.е. это быстрее, чем user-space/daemon ...?
> А насколько безопаснее?
1. Наверное, быстрее. Могу сказать, что Celeron-666 на 3DES-192bit
в состоянии пропустить не более 30Mbit/s --- считать много приходится,
наверное. Если кто-то может дать ещё benchmark, то пожалуйста.
2. Я не специалист по криптографии, просто для меня это работало (и
работает) надёжно и именно так, как мне нужно. Как водится, я ничего
не гарантирую, просто облегчаю жизнь себе и тем, кому понравится. :)
--
DO4-UANIC
^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2003-07-24 13:02 UTC | newest]
Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-07-23 14:48 [devel] IPSec Denis Ovsienko
2003-07-23 14:27 ` [devel] Re: [d-kernel] IPSec Ed V. Bartosh
2003-07-23 16:02 ` Denis Ovsienko
2003-07-24 11:55 ` Marat Khairullin
2003-07-24 13:02 ` Denis Ovsienko
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git