ALT Linux kernel packages development
 help / color / mirror / Atom feed
* Re: [d-kernel] IPSec
  2003-07-23 14:48 [d-kernel] IPSec Denis Ovsienko
@ 2003-07-23 14:27 ` Ed V. Bartosh
  2003-07-23 16:02   ` [devel] " Denis Ovsienko
  2003-07-23 15:47 ` [d-kernel] IPSec Sergey Vlasov
  1 sibling, 1 reply; 11+ messages in thread
From: Ed V. Bartosh @ 2003-07-23 14:27 UTC (permalink / raw)
  To: ALT Linux kernel packages development; +Cc: devel


>>>>> "DO" == Denis Ovsienko writes:

 DO>  Готов kernel-modules-ipsec_tunnel-std-up-0.9-alt1.0.src.rpm Из
 DO>  него собираются:
 DO>  kernel-modules-ipsec_tunnel-std-up-0.9-alt1.0.i586.rpm
 DO>  ipsecadm-0.9-alt1.0.i586.rpm
Оч хорошо, спасибо.
  
 DO>  Первый --- модуль IPSec для kernel-image-std-up-2.4.21rel-alt6
 DO>  Второй --- админтул для модуля После установки имеем возможность
 DO>  получить статические туннели IPSec с shared static keys.
Статические - это как ?
А поддержка x.509 ожидается ? Что там есть из enc-alg, auth-algs ?
А чем это круче, чем FreeS/WAN ?

-- 
Best regards,
Ed V. Bartosh


^ permalink raw reply	[flat|nested] 11+ messages in thread

* [d-kernel] IPSec
@ 2003-07-23 14:48 Denis Ovsienko
  2003-07-23 14:27 ` Ed V. Bartosh
  2003-07-23 15:47 ` [d-kernel] IPSec Sergey Vlasov
  0 siblings, 2 replies; 11+ messages in thread
From: Denis Ovsienko @ 2003-07-23 14:48 UTC (permalink / raw)
  To: devel-kernel; +Cc: devel


Итак, получилось. Что конкретно:
За образец брался kernel-modules-sensors-std-up-2.7.0-alt5

Готов kernel-modules-ipsec_tunnel-std-up-0.9-alt1.0.src.rpm
Из него собираются:
kernel-modules-ipsec_tunnel-std-up-0.9-alt1.0.i586.rpm
ipsecadm-0.9-alt1.0.i586.rpm

Первый --- модуль IPSec для kernel-image-std-up-2.4.21rel-alt6
Второй --- админтул для модуля
После установки имеем возможность получить статические туннели IPSec с
shared static keys. Данный комплект отлично работает с ALM2.0, в который
был топором вбит этот самый модуль (тогда он конфликтовал с FreeS/WAN,
теперь нет), хотя в CryptoAPI поменялись имена модулей.
Теперь логическим завершением работы будет создание ifup-ipsec,
ifdown-ipsec, ifcfg-ipsec1.example и добавление их в net-scripts. Для
net-scripts у меня уже давно готовы такие скрипты для IP-туннелей и
сделана часть работы для миграции net-scripts полностью на iproute2.

src.rpm к заливке готов, единственно что sisyphus_check не находит моего
ключа, да я и сам его не нахожу в alt-gpgkeys :(
Касательно net-scripts: IP-часть я могу отдать хоть сейчас, IPSec ---
надеюсь, к концу недели, а насчёт iproute2 не могу сказать, там я зарылся
в некоторых функциях, нужно несколько свободных дней, которых нет.
Кстати, в рамках iproute2 migration я приделал фичу к ipcalc из
net-scripts. :)

--
    DO4-UANIC


^ permalink raw reply	[flat|nested] 11+ messages in thread

* [d-kernel] Re: IPSec
  2003-07-23 14:48 [d-kernel] IPSec Denis Ovsienko
  2003-07-23 14:27 ` Ed V. Bartosh
@ 2003-07-23 15:47 ` Sergey Vlasov
  2003-07-23 16:10   ` Denis Ovsienko
  1 sibling, 1 reply; 11+ messages in thread
From: Sergey Vlasov @ 2003-07-23 15:47 UTC (permalink / raw)
  To: ALT Linux kernel packages development

On Wed, 23 Jul 2003 17:48:53 +0300 (EEST)
Denis Ovsienko <pilot@dgtu.donetsk.ua> wrote:

> Готов kernel-modules-ipsec_tunnel-std-up-0.9-alt1.0.src.rpm
> Из него собираются:
> kernel-modules-ipsec_tunnel-std-up-0.9-alt1.0.i586.rpm
> ipsecadm-0.9-alt1.0.i586.rpm

Вот это неправильно. Пакетов kernel-modules-ipsec_tunnel-* может быть
много - по одному для каждого варианта ядра (как минимум - std-up и
std-smp). А userspace-часть должна быть в одном экземпляре.

Т.е. должно быть так: ipsec-0.9-alt1.0.src.rpm, из которого собираются
ipsecadm-0.9-alt1.0.i586.rpm и
kernel-source-ipsec_tunnel-0.9-0.9-alt1.0.i586.rpm. Пакет
kernel-modules-ipsec_tunnel-std-up-0.9-alt1.0.src.rpm содержит только
spec и использует при сборке файлы из kernel-source-ipsec_tunnel-0.9;
этот пакет будет свой для каждого варианта ядра.


^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [devel] Re: [d-kernel] IPSec
  2003-07-23 14:27 ` Ed V. Bartosh
@ 2003-07-23 16:02   ` Denis Ovsienko
  2003-07-23 16:23     ` Sergey Vlasov
  0 siblings, 1 reply; 11+ messages in thread
From: Denis Ovsienko @ 2003-07-23 16:02 UTC (permalink / raw)
  To: ALT Devel discussion list; +Cc: devel-kernel


>  DO>  Первый --- модуль IPSec для kernel-image-std-up-2.4.21rel-alt6
>  DO>  Второй --- админтул для модуля После установки имеем возможность
>  DO>  получить статические туннели IPSec с shared static keys.
> Статические - это как ?
> А поддержка x.509 ожидается ? Что там есть из enc-alg, auth-algs ?
> А чем это круче, чем FreeS/WAN ?
Я зимой был на orange party в офисе и рассказывал. Просьбам моим не вняли
и я собрал его сам, дождавшись, пока устаканится policy и появятся образцы
для подражания. Вот мои соображения:
1. В наших ядрах приложен CryptoAPI patch, в котором имеется всё
необходимое для работы IPSec. В то же время FreeS/WAN дублирует в себе
порядочное подмножество этих функций (отсюда и модуль в 291 КБ). CIPE
вообще, насколько я помню, наполовину работает в user-space. ipsec_tunnel
создаёт туннель средствами ядра.
3. Туннели статические. То есть администратор, определив алгоритмы и ключи
шифрования/подписи в каждом направлении, больше ничего настраивать не
должен.
То есть я не говорю, что это лучше в любой ситуации. Где-то лучше
FreeS/WAN. Для конкретно этого решения очень хорошая область применения
--- постоянный туннель, не зависящий от демонов и работы/неработы DNS,
например, связь 2-х офисов через враждебную/недоверенную сеть. Там, где
начинается динамика, и средства другие. Так что принимая за критерий
соответствие целей полученным результатам, вещь полезная.
2. В качестве cipher/digest может быть выбран любой модуль из
/lib/modules/`uname -r`/kernel/crypto/{ciphers|digests}
Это настоящий IPSec-туннель. Ядрёный ;)

--
    DO4-UANIC


^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [d-kernel] Re: IPSec
  2003-07-23 15:47 ` [d-kernel] IPSec Sergey Vlasov
@ 2003-07-23 16:10   ` Denis Ovsienko
  2003-07-23 16:20     ` Sergey Vlasov
  2003-07-24  6:31     ` Ed V. Bartosh
  0 siblings, 2 replies; 11+ messages in thread
From: Denis Ovsienko @ 2003-07-23 16:10 UTC (permalink / raw)
  To: ALT Linux kernel packages development


> Вот это неправильно. Пакетов kernel-modules-ipsec_tunnel-* может быть
> много - по одному для каждого варианта ядра (как минимум - std-up и
> std-smp). А userspace-часть должна быть в одном экземпляре.
Согласен насчёт userspace.
Я переделывал из sensors. А там flavour определяется в начале спека.

> Т.е. должно быть так: ipsec-0.9-alt1.0.src.rpm, из которого собираются
> ipsecadm-0.9-alt1.0.i586.rpm и
> kernel-source-ipsec_tunnel-0.9-0.9-alt1.0.i586.rpm. Пакет
> kernel-modules-ipsec_tunnel-std-up-0.9-alt1.0.src.rpm содержит только
> spec и использует при сборке файлы из kernel-source-ipsec_tunnel-0.9;
> этот пакет будет свой для каждого варианта ядра.
Это, конечно, можно.
И попутно завести kernel-modules-ipsec_tunnel-std-smp, *-aw-up, *-aw-smp
etc? В которых будет строчка спека отличаться, в которой %define flavour?
А при сборке для новой версии ядра править эту версию во всех полученных
src.rpm? Что-то у нас не продумано.

--
    DO4-UANIC


^ permalink raw reply	[flat|nested] 11+ messages in thread

* [d-kernel] Re: IPSec
  2003-07-23 16:10   ` Denis Ovsienko
@ 2003-07-23 16:20     ` Sergey Vlasov
  2003-07-24  6:31     ` Ed V. Bartosh
  1 sibling, 0 replies; 11+ messages in thread
From: Sergey Vlasov @ 2003-07-23 16:20 UTC (permalink / raw)
  To: ALT Linux kernel packages development

On Wed, 23 Jul 2003 19:10:00 +0300 (EEST)
Denis Ovsienko <pilot@dgtu.donetsk.ua> wrote:

> 
> > Вот это неправильно. Пакетов kernel-modules-ipsec_tunnel-* может быть
> > много - по одному для каждого варианта ядра (как минимум - std-up и
> > std-smp). А userspace-часть должна быть в одном экземпляре.
> Согласен насчёт userspace.
> Я переделывал из sensors. А там flavour определяется в начале спека.

Надо из последнего sensors делать - см. тред "lm_sensors" здесь, там
только что кидался spec.

Или из evms последнего (2.1.0-alt9).

> > Т.е. должно быть так: ipsec-0.9-alt1.0.src.rpm, из которого собираются
> > ipsecadm-0.9-alt1.0.i586.rpm и
> > kernel-source-ipsec_tunnel-0.9-0.9-alt1.0.i586.rpm. Пакет
> > kernel-modules-ipsec_tunnel-std-up-0.9-alt1.0.src.rpm содержит только
> > spec и использует при сборке файлы из kernel-source-ipsec_tunnel-0.9;
> > этот пакет будет свой для каждого варианта ядра.
> Это, конечно, можно.
> И попутно завести kernel-modules-ipsec_tunnel-std-smp, *-aw-up, *-aw-smp
> etc? В которых будет строчка спека отличаться, в которой %define flavour?
> А при сборке для новой версии ядра править эту версию во всех полученных
> src.rpm? Что-то у нас не продумано.

Вот такая система - после пересборки ядра нужно пересобрать и все
модули для него с новым kernel-headers-%flavour. userspace и
kernel-source-* пересобирать не надо.


^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [d-kernel] IPSec
  2003-07-23 16:02   ` [devel] " Denis Ovsienko
@ 2003-07-23 16:23     ` Sergey Vlasov
  2003-07-23 22:20       ` Denis Ovsienko
  0 siblings, 1 reply; 11+ messages in thread
From: Sergey Vlasov @ 2003-07-23 16:23 UTC (permalink / raw)
  To: ALT Linux kernel packages development

On Wed, 23 Jul 2003 19:02:13 +0300 (EEST)
Denis Ovsienko <pilot@dgtu.donetsk.ua> wrote:

> >  DO>  Первый --- модуль IPSec для kernel-image-std-up-2.4.21rel-alt6
> >  DO>  Второй --- админтул для модуля После установки имеем возможность
> >  DO>  получить статические туннели IPSec с shared static keys.
> > Статические - это как ?
> > А поддержка x.509 ожидается ? Что там есть из enc-alg, auth-algs ?
> > А чем это круче, чем FreeS/WAN ?
> Я зимой был на orange party в офисе и рассказывал. Просьбам моим не вняли
> и я собрал его сам, дождавшись, пока устаканится policy и появятся образцы
> для подражания. Вот мои соображения:
> 1. В наших ядрах приложен CryptoAPI patch, в котором имеется всё
> необходимое для работы IPSec. В то же время FreeS/WAN дублирует в себе
> порядочное подмножество этих функций (отсюда и модуль в 291 КБ).

Насчёт дублирования - это да (у него там ещё и zlib собственная).

> CIPE вообще, насколько я помню, наполовину работает в user-space.

В userspace у него, как и у FreeS/WAN, обмен ключами.

> ipsec_tunnel создаёт туннель средствами ядра.
> 3. Туннели статические. То есть администратор, определив алгоритмы и
> ключи шифрования/подписи в каждом направлении, больше ничего
> настраивать не должен.

В смысле - там что, ключи шифрования периодически не меняются
автоматически?


^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [d-kernel] IPSec
  2003-07-23 16:23     ` Sergey Vlasov
@ 2003-07-23 22:20       ` Denis Ovsienko
  0 siblings, 0 replies; 11+ messages in thread
From: Denis Ovsienko @ 2003-07-23 22:20 UTC (permalink / raw)
  To: ALT Linux kernel packages development


> > 3. Туннели статические. То есть администратор, определив алгоритмы и
> > ключи шифрования/подписи в каждом направлении, больше ничего
> > настраивать не должен.
> В смысле - там что, ключи шифрования периодически не меняются
> автоматически?
Именно так. Точно так же, как и в IP-туннелях, задача ядра --- только
инкапсулировать/декапсулировать пакеты.


--
    DO4-UANIC


^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [d-kernel] Re: IPSec
  2003-07-23 16:10   ` Denis Ovsienko
  2003-07-23 16:20     ` Sergey Vlasov
@ 2003-07-24  6:31     ` Ed V. Bartosh
  2003-07-24  9:40       ` Denis Ovsienko
  1 sibling, 1 reply; 11+ messages in thread
From: Ed V. Bartosh @ 2003-07-24  6:31 UTC (permalink / raw)
  To: ALT Linux kernel packages development


>>>>> "DO" == Denis Ovsienko writes:

 >>  Т.е. должно быть так: ipsec-0.9-alt1.0.src.rpm, из которого
 >>  собираются ipsecadm-0.9-alt1.0.i586.rpm и
 >>  kernel-source-ipsec_tunnel-0.9-0.9-alt1.0.i586.rpm. Пакет
 >>  kernel-modules-ipsec_tunnel-std-up-0.9-alt1.0.src.rpm содержит
 >>  только spec и использует при сборке файлы из
 >>  kernel-source-ipsec_tunnel-0.9; этот пакет будет свой для каждого
 >>  варианта ядра.
 DO>  Это, конечно, можно.  И попутно завести
 DO>  kernel-modules-ipsec_tunnel-std-smp, *-aw-up, *-aw-smp etc?
Для тебя достаточно сделать kernel-modules для std ядер. Остальное -
дело мэйнтейнеров kernel-image-ей. И необязательно они захотят это
иметь у себя. А захотят - сами соберут, твое дело - показать путь :)

 DO>   В  которых будет строчка спека отличаться, в которой %define
 DO>  flavour?  А при сборке для новой версии ядра править эту версию
 DO>  во всех полученных src.rpm? Что-то у нас не продумано.
Продумано. Тут палка о двух концах - либо много аналогичных сборок, 
либо нет гибкости. Мы идем первым путем. Но ты можешь предложить и свой
вариант, обсудим, подумаем.

-- 
Best regards,
Ed V. Bartosh


^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [d-kernel] Re: IPSec
  2003-07-24  9:40       ` Denis Ovsienko
@ 2003-07-24  9:11         ` Ed V. Bartosh
  0 siblings, 0 replies; 11+ messages in thread
From: Ed V. Bartosh @ 2003-07-24  9:11 UTC (permalink / raw)
  To: ALT Linux kernel packages development


>>>>> "DO" == Denis Ovsienko writes:

 >>   Для тебя достаточно сделать kernel-modules для std
 >>   ядер. Остальное -
 >>  дело мэйнтейнеров kernel-image-ей. И необязательно они захотят
 >>  это иметь у себя. А захотят - сами соберут, твое дело - показать
 >>  путь :)
 DO>  Делаю. Нельзя ли kernel-source-%{module_name} сделать noarch?

Сделай, если сможешь :) насколько я знаю - это ограничение rpm, не
позволяет он из одного спека делать пакеты для разных архитектур.

Вот ссылка на баг:
http://bugs.altlinux.ru/view_bug_page.php?f_id=0002745

-- 
Best regards,
Ed V. Bartosh


^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [d-kernel] Re: IPSec
  2003-07-24  6:31     ` Ed V. Bartosh
@ 2003-07-24  9:40       ` Denis Ovsienko
  2003-07-24  9:11         ` Ed V. Bartosh
  0 siblings, 1 reply; 11+ messages in thread
From: Denis Ovsienko @ 2003-07-24  9:40 UTC (permalink / raw)
  To: ALT Linux kernel packages development


> Для тебя достаточно сделать kernel-modules для std ядер. Остальное -
> дело мэйнтейнеров kernel-image-ей. И необязательно они захотят это
> иметь у себя. А захотят - сами соберут, твое дело - показать путь :)
Делаю. Нельзя ли kernel-source-%{module_name} сделать noarch?

--
    DO4-UANIC


^ permalink raw reply	[flat|nested] 11+ messages in thread

end of thread, other threads:[~2003-07-24  9:40 UTC | newest]

Thread overview: 11+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-07-23 14:48 [d-kernel] IPSec Denis Ovsienko
2003-07-23 14:27 ` Ed V. Bartosh
2003-07-23 16:02   ` [devel] " Denis Ovsienko
2003-07-23 16:23     ` Sergey Vlasov
2003-07-23 22:20       ` Denis Ovsienko
2003-07-23 15:47 ` [d-kernel] IPSec Sergey Vlasov
2003-07-23 16:10   ` Denis Ovsienko
2003-07-23 16:20     ` Sergey Vlasov
2003-07-24  6:31     ` Ed V. Bartosh
2003-07-24  9:40       ` Denis Ovsienko
2003-07-24  9:11         ` Ed V. Bartosh

ALT Linux kernel packages development

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel-kernel/0 devel-kernel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel-kernel devel-kernel/ http://lore.altlinux.org/devel-kernel \
		devel-kernel@altlinux.org devel-kernel@altlinux.ru devel-kernel@altlinux.com
	public-inbox-index devel-kernel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel-kernel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git