From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <vsu@altlinux.ru>
Date: Wed, 23 Jul 2003 20:23:55 +0400
From: Sergey Vlasov <vsu@altlinux.ru>
To: ALT Linux kernel packages development <devel-kernel@altlinux.ru>
Subject: Re: [d-kernel] IPSec
Message-Id: <20030723202355.05d389f9.vsu@altlinux.ru>
In-Reply-To: <20030723183644.M13186@elefant.dgtu.donetsk.ua>
References: <20030723171442.V8840@elefant.dgtu.donetsk.ua>
	<m3y8ypmi6t.fsf@altlinux.ru>
	<20030723183644.M13186@elefant.dgtu.donetsk.ua>
X-Mailer: Sylpheed version 0.9.2 (GTK+ 1.2.10; i586-alt-linux-gnu)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
X-BeenThere: devel-kernel@altlinux.ru
X-Mailman-Version: 2.1.2
Precedence: list
Reply-To: ALT Linux kernel packages development <devel-kernel@altlinux.ru>
List-Id: ALT Linux kernel packages development  <devel-kernel.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/devel-kernel>,
	<mailto:devel-kernel-request@altlinux.ru?subject=unsubscribe>
List-Archive: </pipermail/devel-kernel>
List-Post: <mailto:devel-kernel@altlinux.ru>
List-Help: <mailto:devel-kernel-request@altlinux.ru?subject=help>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/devel-kernel>,
	<mailto:devel-kernel-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Wed, 23 Jul 2003 16:23:58 -0000
Archived-At: <http://lore.altlinux.org/devel-kernel/20030723202355.05d389f9.vsu@altlinux.ru/>
List-Archive: <http://lore.altlinux.org/devel-kernel/>
List-Post: <mailto:devel-kernel@altlinux.org>

On Wed, 23 Jul 2003 19:02:13 +0300 (EEST)
Denis Ovsienko <pilot@dgtu.donetsk.ua> wrote:

> >  DO>  Первый --- модуль IPSec для kernel-image-std-up-2.4.21rel-alt6
> >  DO>  Второй --- админтул для модуля После установки имеем возможность
> >  DO>  получить статические туннели IPSec с shared static keys.
> > Статические - это как ?
> > А поддержка x.509 ожидается ? Что там есть из enc-alg, auth-algs ?
> > А чем это круче, чем FreeS/WAN ?
> Я зимой был на orange party в офисе и рассказывал. Просьбам моим не вняли
> и я собрал его сам, дождавшись, пока устаканится policy и появятся образцы
> для подражания. Вот мои соображения:
> 1. В наших ядрах приложен CryptoAPI patch, в котором имеется всё
> необходимое для работы IPSec. В то же время FreeS/WAN дублирует в себе
> порядочное подмножество этих функций (отсюда и модуль в 291 КБ).

Насчёт дублирования - это да (у него там ещё и zlib собственная).

> CIPE вообще, насколько я помню, наполовину работает в user-space.

В userspace у него, как и у FreeS/WAN, обмен ключами.

> ipsec_tunnel создаёт туннель средствами ядра.
> 3. Туннели статические. То есть администратор, определив алгоритмы и
> ключи шифрования/подписи в каждом направлении, больше ничего
> настраивать не должен.

В смысле - там что, ключи шифрования периодически не меняются
автоматически?