* [d-kernel] IPSec
@ 2003-07-23 14:48 Denis Ovsienko
2003-07-23 14:27 ` Ed V. Bartosh
2003-07-23 15:47 ` [d-kernel] IPSec Sergey Vlasov
0 siblings, 2 replies; 11+ messages in thread
From: Denis Ovsienko @ 2003-07-23 14:48 UTC (permalink / raw)
To: devel-kernel; +Cc: devel
Итак, получилось. Что конкретно:
За образец брался kernel-modules-sensors-std-up-2.7.0-alt5
Готов kernel-modules-ipsec_tunnel-std-up-0.9-alt1.0.src.rpm
Из него собираются:
kernel-modules-ipsec_tunnel-std-up-0.9-alt1.0.i586.rpm
ipsecadm-0.9-alt1.0.i586.rpm
Первый --- модуль IPSec для kernel-image-std-up-2.4.21rel-alt6
Второй --- админтул для модуля
После установки имеем возможность получить статические туннели IPSec с
shared static keys. Данный комплект отлично работает с ALM2.0, в который
был топором вбит этот самый модуль (тогда он конфликтовал с FreeS/WAN,
теперь нет), хотя в CryptoAPI поменялись имена модулей.
Теперь логическим завершением работы будет создание ifup-ipsec,
ifdown-ipsec, ifcfg-ipsec1.example и добавление их в net-scripts. Для
net-scripts у меня уже давно готовы такие скрипты для IP-туннелей и
сделана часть работы для миграции net-scripts полностью на iproute2.
src.rpm к заливке готов, единственно что sisyphus_check не находит моего
ключа, да я и сам его не нахожу в alt-gpgkeys :(
Касательно net-scripts: IP-часть я могу отдать хоть сейчас, IPSec ---
надеюсь, к концу недели, а насчёт iproute2 не могу сказать, там я зарылся
в некоторых функциях, нужно несколько свободных дней, которых нет.
Кстати, в рамках iproute2 migration я приделал фичу к ipcalc из
net-scripts. :)
--
DO4-UANIC
^ permalink raw reply [flat|nested] 11+ messages in thread* Re: [d-kernel] IPSec
2003-07-23 14:48 [d-kernel] IPSec Denis Ovsienko
@ 2003-07-23 14:27 ` Ed V. Bartosh
2003-07-23 16:02 ` [devel] " Denis Ovsienko
2003-07-23 15:47 ` [d-kernel] IPSec Sergey Vlasov
1 sibling, 1 reply; 11+ messages in thread
From: Ed V. Bartosh @ 2003-07-23 14:27 UTC (permalink / raw)
To: ALT Linux kernel packages development; +Cc: devel
>>>>> "DO" == Denis Ovsienko writes:
DO> Готов kernel-modules-ipsec_tunnel-std-up-0.9-alt1.0.src.rpm Из
DO> него собираются:
DO> kernel-modules-ipsec_tunnel-std-up-0.9-alt1.0.i586.rpm
DO> ipsecadm-0.9-alt1.0.i586.rpm
Оч хорошо, спасибо.
DO> Первый --- модуль IPSec для kernel-image-std-up-2.4.21rel-alt6
DO> Второй --- админтул для модуля После установки имеем возможность
DO> получить статические туннели IPSec с shared static keys.
Статические - это как ?
А поддержка x.509 ожидается ? Что там есть из enc-alg, auth-algs ?
А чем это круче, чем FreeS/WAN ?
--
Best regards,
Ed V. Bartosh
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Re: [d-kernel] IPSec
2003-07-23 14:27 ` Ed V. Bartosh
@ 2003-07-23 16:02 ` Denis Ovsienko
2003-07-23 16:23 ` Sergey Vlasov
0 siblings, 1 reply; 11+ messages in thread
From: Denis Ovsienko @ 2003-07-23 16:02 UTC (permalink / raw)
To: ALT Devel discussion list; +Cc: devel-kernel
> DO> Первый --- модуль IPSec для kernel-image-std-up-2.4.21rel-alt6
> DO> Второй --- админтул для модуля После установки имеем возможность
> DO> получить статические туннели IPSec с shared static keys.
> Статические - это как ?
> А поддержка x.509 ожидается ? Что там есть из enc-alg, auth-algs ?
> А чем это круче, чем FreeS/WAN ?
Я зимой был на orange party в офисе и рассказывал. Просьбам моим не вняли
и я собрал его сам, дождавшись, пока устаканится policy и появятся образцы
для подражания. Вот мои соображения:
1. В наших ядрах приложен CryptoAPI patch, в котором имеется всё
необходимое для работы IPSec. В то же время FreeS/WAN дублирует в себе
порядочное подмножество этих функций (отсюда и модуль в 291 КБ). CIPE
вообще, насколько я помню, наполовину работает в user-space. ipsec_tunnel
создаёт туннель средствами ядра.
3. Туннели статические. То есть администратор, определив алгоритмы и ключи
шифрования/подписи в каждом направлении, больше ничего настраивать не
должен.
То есть я не говорю, что это лучше в любой ситуации. Где-то лучше
FreeS/WAN. Для конкретно этого решения очень хорошая область применения
--- постоянный туннель, не зависящий от демонов и работы/неработы DNS,
например, связь 2-х офисов через враждебную/недоверенную сеть. Там, где
начинается динамика, и средства другие. Так что принимая за критерий
соответствие целей полученным результатам, вещь полезная.
2. В качестве cipher/digest может быть выбран любой модуль из
/lib/modules/`uname -r`/kernel/crypto/{ciphers|digests}
Это настоящий IPSec-туннель. Ядрёный ;)
--
DO4-UANIC
^ permalink raw reply [flat|nested] 11+ messages in thread* Re: [d-kernel] IPSec
2003-07-23 16:02 ` [devel] " Denis Ovsienko
@ 2003-07-23 16:23 ` Sergey Vlasov
2003-07-23 22:20 ` Denis Ovsienko
0 siblings, 1 reply; 11+ messages in thread
From: Sergey Vlasov @ 2003-07-23 16:23 UTC (permalink / raw)
To: ALT Linux kernel packages development
On Wed, 23 Jul 2003 19:02:13 +0300 (EEST)
Denis Ovsienko <pilot@dgtu.donetsk.ua> wrote:
> > DO> Первый --- модуль IPSec для kernel-image-std-up-2.4.21rel-alt6
> > DO> Второй --- админтул для модуля После установки имеем возможность
> > DO> получить статические туннели IPSec с shared static keys.
> > Статические - это как ?
> > А поддержка x.509 ожидается ? Что там есть из enc-alg, auth-algs ?
> > А чем это круче, чем FreeS/WAN ?
> Я зимой был на orange party в офисе и рассказывал. Просьбам моим не вняли
> и я собрал его сам, дождавшись, пока устаканится policy и появятся образцы
> для подражания. Вот мои соображения:
> 1. В наших ядрах приложен CryptoAPI patch, в котором имеется всё
> необходимое для работы IPSec. В то же время FreeS/WAN дублирует в себе
> порядочное подмножество этих функций (отсюда и модуль в 291 КБ).
Насчёт дублирования - это да (у него там ещё и zlib собственная).
> CIPE вообще, насколько я помню, наполовину работает в user-space.
В userspace у него, как и у FreeS/WAN, обмен ключами.
> ipsec_tunnel создаёт туннель средствами ядра.
> 3. Туннели статические. То есть администратор, определив алгоритмы и
> ключи шифрования/подписи в каждом направлении, больше ничего
> настраивать не должен.
В смысле - там что, ключи шифрования периодически не меняются
автоматически?
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [d-kernel] IPSec
2003-07-23 16:23 ` Sergey Vlasov
@ 2003-07-23 22:20 ` Denis Ovsienko
0 siblings, 0 replies; 11+ messages in thread
From: Denis Ovsienko @ 2003-07-23 22:20 UTC (permalink / raw)
To: ALT Linux kernel packages development
> > 3. Туннели статические. То есть администратор, определив алгоритмы и
> > ключи шифрования/подписи в каждом направлении, больше ничего
> > настраивать не должен.
> В смысле - там что, ключи шифрования периодически не меняются
> автоматически?
Именно так. Точно так же, как и в IP-туннелях, задача ядра --- только
инкапсулировать/декапсулировать пакеты.
--
DO4-UANIC
^ permalink raw reply [flat|nested] 11+ messages in thread
* [d-kernel] Re: IPSec
2003-07-23 14:48 [d-kernel] IPSec Denis Ovsienko
2003-07-23 14:27 ` Ed V. Bartosh
@ 2003-07-23 15:47 ` Sergey Vlasov
2003-07-23 16:10 ` Denis Ovsienko
1 sibling, 1 reply; 11+ messages in thread
From: Sergey Vlasov @ 2003-07-23 15:47 UTC (permalink / raw)
To: ALT Linux kernel packages development
On Wed, 23 Jul 2003 17:48:53 +0300 (EEST)
Denis Ovsienko <pilot@dgtu.donetsk.ua> wrote:
> Готов kernel-modules-ipsec_tunnel-std-up-0.9-alt1.0.src.rpm
> Из него собираются:
> kernel-modules-ipsec_tunnel-std-up-0.9-alt1.0.i586.rpm
> ipsecadm-0.9-alt1.0.i586.rpm
Вот это неправильно. Пакетов kernel-modules-ipsec_tunnel-* может быть
много - по одному для каждого варианта ядра (как минимум - std-up и
std-smp). А userspace-часть должна быть в одном экземпляре.
Т.е. должно быть так: ipsec-0.9-alt1.0.src.rpm, из которого собираются
ipsecadm-0.9-alt1.0.i586.rpm и
kernel-source-ipsec_tunnel-0.9-0.9-alt1.0.i586.rpm. Пакет
kernel-modules-ipsec_tunnel-std-up-0.9-alt1.0.src.rpm содержит только
spec и использует при сборке файлы из kernel-source-ipsec_tunnel-0.9;
этот пакет будет свой для каждого варианта ядра.
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [d-kernel] Re: IPSec
2003-07-23 15:47 ` [d-kernel] IPSec Sergey Vlasov
@ 2003-07-23 16:10 ` Denis Ovsienko
2003-07-23 16:20 ` Sergey Vlasov
2003-07-24 6:31 ` Ed V. Bartosh
0 siblings, 2 replies; 11+ messages in thread
From: Denis Ovsienko @ 2003-07-23 16:10 UTC (permalink / raw)
To: ALT Linux kernel packages development
> Вот это неправильно. Пакетов kernel-modules-ipsec_tunnel-* может быть
> много - по одному для каждого варианта ядра (как минимум - std-up и
> std-smp). А userspace-часть должна быть в одном экземпляре.
Согласен насчёт userspace.
Я переделывал из sensors. А там flavour определяется в начале спека.
> Т.е. должно быть так: ipsec-0.9-alt1.0.src.rpm, из которого собираются
> ipsecadm-0.9-alt1.0.i586.rpm и
> kernel-source-ipsec_tunnel-0.9-0.9-alt1.0.i586.rpm. Пакет
> kernel-modules-ipsec_tunnel-std-up-0.9-alt1.0.src.rpm содержит только
> spec и использует при сборке файлы из kernel-source-ipsec_tunnel-0.9;
> этот пакет будет свой для каждого варианта ядра.
Это, конечно, можно.
И попутно завести kernel-modules-ipsec_tunnel-std-smp, *-aw-up, *-aw-smp
etc? В которых будет строчка спека отличаться, в которой %define flavour?
А при сборке для новой версии ядра править эту версию во всех полученных
src.rpm? Что-то у нас не продумано.
--
DO4-UANIC
^ permalink raw reply [flat|nested] 11+ messages in thread* [d-kernel] Re: IPSec
2003-07-23 16:10 ` Denis Ovsienko
@ 2003-07-23 16:20 ` Sergey Vlasov
2003-07-24 6:31 ` Ed V. Bartosh
1 sibling, 0 replies; 11+ messages in thread
From: Sergey Vlasov @ 2003-07-23 16:20 UTC (permalink / raw)
To: ALT Linux kernel packages development
On Wed, 23 Jul 2003 19:10:00 +0300 (EEST)
Denis Ovsienko <pilot@dgtu.donetsk.ua> wrote:
>
> > Вот это неправильно. Пакетов kernel-modules-ipsec_tunnel-* может быть
> > много - по одному для каждого варианта ядра (как минимум - std-up и
> > std-smp). А userspace-часть должна быть в одном экземпляре.
> Согласен насчёт userspace.
> Я переделывал из sensors. А там flavour определяется в начале спека.
Надо из последнего sensors делать - см. тред "lm_sensors" здесь, там
только что кидался spec.
Или из evms последнего (2.1.0-alt9).
> > Т.е. должно быть так: ipsec-0.9-alt1.0.src.rpm, из которого собираются
> > ipsecadm-0.9-alt1.0.i586.rpm и
> > kernel-source-ipsec_tunnel-0.9-0.9-alt1.0.i586.rpm. Пакет
> > kernel-modules-ipsec_tunnel-std-up-0.9-alt1.0.src.rpm содержит только
> > spec и использует при сборке файлы из kernel-source-ipsec_tunnel-0.9;
> > этот пакет будет свой для каждого варианта ядра.
> Это, конечно, можно.
> И попутно завести kernel-modules-ipsec_tunnel-std-smp, *-aw-up, *-aw-smp
> etc? В которых будет строчка спека отличаться, в которой %define flavour?
> А при сборке для новой версии ядра править эту версию во всех полученных
> src.rpm? Что-то у нас не продумано.
Вот такая система - после пересборки ядра нужно пересобрать и все
модули для него с новым kernel-headers-%flavour. userspace и
kernel-source-* пересобирать не надо.
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [d-kernel] Re: IPSec
2003-07-23 16:10 ` Denis Ovsienko
2003-07-23 16:20 ` Sergey Vlasov
@ 2003-07-24 6:31 ` Ed V. Bartosh
2003-07-24 9:40 ` Denis Ovsienko
1 sibling, 1 reply; 11+ messages in thread
From: Ed V. Bartosh @ 2003-07-24 6:31 UTC (permalink / raw)
To: ALT Linux kernel packages development
>>>>> "DO" == Denis Ovsienko writes:
>> Т.е. должно быть так: ipsec-0.9-alt1.0.src.rpm, из которого
>> собираются ipsecadm-0.9-alt1.0.i586.rpm и
>> kernel-source-ipsec_tunnel-0.9-0.9-alt1.0.i586.rpm. Пакет
>> kernel-modules-ipsec_tunnel-std-up-0.9-alt1.0.src.rpm содержит
>> только spec и использует при сборке файлы из
>> kernel-source-ipsec_tunnel-0.9; этот пакет будет свой для каждого
>> варианта ядра.
DO> Это, конечно, можно. И попутно завести
DO> kernel-modules-ipsec_tunnel-std-smp, *-aw-up, *-aw-smp etc?
Для тебя достаточно сделать kernel-modules для std ядер. Остальное -
дело мэйнтейнеров kernel-image-ей. И необязательно они захотят это
иметь у себя. А захотят - сами соберут, твое дело - показать путь :)
DO> В которых будет строчка спека отличаться, в которой %define
DO> flavour? А при сборке для новой версии ядра править эту версию
DO> во всех полученных src.rpm? Что-то у нас не продумано.
Продумано. Тут палка о двух концах - либо много аналогичных сборок,
либо нет гибкости. Мы идем первым путем. Но ты можешь предложить и свой
вариант, обсудим, подумаем.
--
Best regards,
Ed V. Bartosh
^ permalink raw reply [flat|nested] 11+ messages in thread
end of thread, other threads:[~2003-07-24 9:40 UTC | newest]
Thread overview: 11+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-07-23 14:48 [d-kernel] IPSec Denis Ovsienko
2003-07-23 14:27 ` Ed V. Bartosh
2003-07-23 16:02 ` [devel] " Denis Ovsienko
2003-07-23 16:23 ` Sergey Vlasov
2003-07-23 22:20 ` Denis Ovsienko
2003-07-23 15:47 ` [d-kernel] IPSec Sergey Vlasov
2003-07-23 16:10 ` Denis Ovsienko
2003-07-23 16:20 ` Sergey Vlasov
2003-07-24 6:31 ` Ed V. Bartosh
2003-07-24 9:40 ` Denis Ovsienko
2003-07-24 9:11 ` Ed V. Bartosh
ALT Linux kernel packages development
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel-kernel/0 devel-kernel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel-kernel devel-kernel/ http://lore.altlinux.org/devel-kernel \
devel-kernel@altlinux.org devel-kernel@altlinux.ru devel-kernel@altlinux.com
public-inbox-index devel-kernel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel-kernel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git