[sisyphus] IPsec for 2.6 kernel

[sisyphus] IPsec for 2.6 kernel

[Maxim Tyurin]

[-- Attachment #1: Type: text/plain, Size: 359 bytes --]


Hi!
В связи с победным шествием kernel 2.6 решил наконец сделать
нормальный пакет *swan для данного ядра и залить его в Сизиф.

В связи с чем есть такой вопрос:
Нужен ли народу Xauth патч?
Dead Peer Detection патч?

x509, ALG, NAT патчи нужны мне так что они точно будут.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

[-- Attachment #2: Type: application/pgp-signature, Size: 188 bytes --]

Re: [sisyphus] IPsec for 2.6 kernel

[Igor Solovyov]

Hi!
On Thu, 22 Apr 2004 13:46:48 +0300
Maxim Tyurin <mrkooll@tdr.pibhe.com> wrote:

> В связи с победным шествием kernel 2.6 решил наконец сделать
> нормальный пакет *swan для данного ядра и залить его в Сизиф.
> 
> В связи с чем есть такой вопрос:
> Нужен ли народу Xauth патч?
> Dead Peer Detection патч?
> 
> x509, ALG, NAT патчи нужны мне так что они точно будут.

Хочу Dead Peer Detection. :-)

-- 
Best regards!
Igor Solovyov
Zlatoust, Russia

Re: [sisyphus] IPsec for 2.6 kernel

[Maxim Tyurin]

Igor Solovyov <gosha@anti.su> writes:
<scip>
>> В связи с победным шествием kernel 2.6 решил наконец сделать
>> нормальный пакет *swan для данного ядра и залить его в Сизиф.
>> 
>> В связи с чем есть такой вопрос:
>> Нужен ли народу Xauth патч?
>> Dead Peer Detection патч?
>> 
>> x509, ALG, NAT патчи нужны мне так что они точно будут.
>
> Хочу Dead Peer Detection. :-)

Попробую прикрутить.
Разработчики обещают в следующей версии.

P.S. Если так сильно нужно то пока можно и на 2.4 ядре сидеть :)
В super-freeswan-1.99 DPD патч есть.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

Re: [sisyphus] IPsec for 2.6 kernel

[Andrew Kochetkov]

Maxim Tyurin пишет:

>Dead Peer Detection патч?
>  
>
Очень было бы неплохо.

Re: [sisyphus] IPsec for 2.6 kernel

[Igor Solovyov]

Hi!
On Thu, 22 Apr 2004 14:49:34 +0300
Maxim Tyurin <mrkooll@tdr.pibhe.com> wrote:

> > Хочу Dead Peer Detection. :-)
> 
> Попробую прикрутить.
> Разработчики обещают в следующей версии.
> 
> P.S. Если так сильно нужно то пока можно и на 2.4 ядре сидеть :)
> В super-freeswan-1.99 DPD патч есть.

Честно говря я пока на 2.6 переезжать и не планирую.
IMHO рановато. Погодю слегка.
Но рано или поздно перееду же, вот тогда и понадобится. :-)

-- 
Best regards!
Igor Solovyov
Zlatoust, Russia

Re: [sisyphus] IPsec for 2.6 kernel

[Maxim Tyurin]

vserge <vserge@altlinux.ru> writes:
<scip>
> Но просто интересно у кого есть опыт организации VPN между cisco и Linux ??
> Поделитесь пожалуйста опытом и впечатлениями, можно и на личную
> почту!

Говорят работает. Сам не пробовал.
http://www.freeswan.org/freeswan_trees/freeswan-2.04/doc/interop.html#cisco
Тут смотрели?

<scip>
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

Re: [sisyphus] IPsec for 2.6 kernel

[vserge]

Добрый день

Прошу прощения за OffTopic

Но просто интересно у кого есть опыт организации VPN между cisco и Linux ??
Поделитесь пожалуйста опытом и впечатлениями, можно и на личную почту!

Вы написали Maxim Tyurin <mrkooll@tdr.pibhe.com> Thu, 22 Apr 2004 13:46:48
+0300:

> 
> Hi!
> В связи с победным шествием kernel 2.6 решил наконец сделать
> нормальный пакет *swan для данного ядра и залить его в Сизиф.
> 
> В связи с чем есть такой вопрос:
> Нужен ли народу Xauth патч?
> Dead Peer Detection патч?
> 
> x509, ALG, NAT патчи нужны мне так что они точно будут.


-- 
Раньше работало неправильно [...]
		-- ldv in sisyphus@

Re: [sisyphus] IPsec for 2.6 kernel

[Igor Solovyov]

Hi!
On Thu, 22 Apr 2004 16:56:28 +0400
vserge <vserge@altlinux.ru> wrote:

> Но просто интересно у кого есть опыт организации VPN между cisco и Linux ??
> Поделитесь пожалуйста опытом и впечатлениями, можно и на личную почту!

У меня именно такой опыт. В общем-то все работает?
Что не получается?

-- 
Best regards!
Igor Solovyov
Zlatoust, Russia

Re: [sisyphus] IPsec for 2.6 kernel

[Dmitriy Gnidchenko]

On Thu, 22 Apr 2004, vserge wrote:

> Добрый день
>
> Прошу прощения за OffTopic
>
> Но просто интересно у кого есть опыт организации VPN между
> cisco и Linux ??
> Поделитесь пожалуйста опытом и впечатлениями, можно и на
> личную почту!

Я делал.
на стороне Кошки была 3640 (IOS 3DES - это обязательно)

на стороне линуха freeswan

подключение authby=secret

завелось без особых трудностей.

глюк был в том, если соединение простаивает  длительное время
линк падал (по дебагу на кошке шла ругань)

ожвало только после рестарта freeswan

посему надо предусматреть переодические пинги.
в остальном проблем небыло

Конфиг для кошки имеется.



> Вы написали Maxim Tyurin <mrkooll@tdr.pibhe.com> Thu, 22 Apr
> 2004 13:46:48
> +0300:
>
> >
> > Hi!
> > В связи с победным шествием kernel 2.6 решил наконец сделать
> > нормальный пакет *swan для данного ядра и залить его в
> Сизиф.
> >
> > В связи с чем есть такой вопрос:
> > Нужен ли народу Xauth патч?
> > Dead Peer Detection патч?
> >
> > x509, ALG, NAT патчи нужны мне так что они точно будут.
>
>
>

Re: [sisyphus] IPsec for 2.6 kernel

[vserge]

Добрый день

Вы написали Dmitriy Gnidchenko <savithur@avatar.spb.ru> Thu, 22 Apr 2004
18:27:42 +0400 (MSD):

> On Thu, 22 Apr 2004, vserge wrote:
> 
> > Добрый день
> >
> > Прошу прощения за OffTopic
> >
> > Но просто интересно у кого есть опыт организации VPN между
> > cisco и Linux ??
> > Поделитесь пожалуйста опытом и впечатлениями, можно и на
> > личную почту!
> 
> Я делал.
> на стороне Кошки была 3640 (IOS 3DES - это обязательно)
> 
> на стороне линуха freeswan
> 
> подключение authby=secret
> 
> завелось без особых трудностей.
> 
> глюк был в том, если соединение простаивает  длительное время
> линк падал (по дебагу на кошке шла ругань)
> 
> ожвало только после рестарта freeswan
> 
> посему надо предусматреть переодические пинги.
А разве у нас в линухе нет keepalive ??? на основе которых киска понимает что
канал жив.

> в остальном проблем небыло
> 
> Конфиг для кошки имеется.
> 
> 
> 
> > Вы написали Maxim Tyurin <mrkooll@tdr.pibhe.com> Thu, 22 Apr
> > 2004 13:46:48
> > +0300:
> >
> > >
> > > Hi!
> > > В связи с победным шествием kernel 2.6 решил наконец сделать
> > > нормальный пакет *swan для данного ядра и залить его в
> > Сизиф.
> > >
> > > В связи с чем есть такой вопрос:
> > > Нужен ли народу Xauth патч?
> > > Dead Peer Detection патч?
> > >
> > > x509, ALG, NAT патчи нужны мне так что они точно будут.
> >
> >
> >
> _______________________________________________
> Sisyphus mailing list
> Sisyphus@altlinux.ru
> http://lists.altlinux.ru/mailman/listinfo/sisyphus


-- 
> Выпускать ALM2.1 с такими изменениями -- слишком сильно,
Тогда назовем его ALM2.2? :)
		-- ldv in devel@

Re: [sisyphus] IPsec for 2.6 kernel

[Dmitriy Gnidchenko]

> > линк падал (по дебагу на кошке шла ругань)
> >
> > ожвало только после рестарта freeswan
> >
> > посему надо предусматреть переодические пинги.
> А разве у нас в линухе нет keepalive ??? на основе которых
> киска понимает что канал жив.

Может и есть, но где его ставить :)

что бы канал отвалился надо было что бы несколько часов по этому
каналу ни чего не ходило.

точно время не засекал.

Re: [sisyphus] IPsec for 2.6 kernel

[Maxim Tyurin]

Dmitriy Gnidchenko <savithur@avatar.spb.ru> writes:

>> > линк падал (по дебагу на кошке шла ругань)
>> >
>> > ожвало только после рестарта freeswan
>> >
>> > посему надо предусматреть переодические пинги.
>> А разве у нас в линухе нет keepalive ??? на основе которых
>> киска понимает что канал жив.
>
> Может и есть, но где его ставить :)

А вы не пробовали super-freeswan из Сизифа?
Там есть MTS Keepalive Support
Гляньте /usr/share/doc/super-freeswan-1.99.8/README.SUPERFS

>
> что бы канал отвалился надо было что бы несколько часов по этому
> каналу ни чего не ходило.

Или старое проверенное решение - ping в cron по всем интерфейсам :)

-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

Re: [sisyphus] Re: [devel] IPsec for 2.6 kernel

[Maxim Tyurin]

Anton Farygin <rider@altlinux.com> writes:

<scip>
>> В связи с победным шествием kernel 2.6 решил наконец сделать
>> нормальный пакет *swan для данного ядра и залить его в Сизиф.
>
> Лучше заливать в CVS ядра, если хотите что бы оно обновлялось более-менее
> самостоятельно.

Я сначала постараюсь чтоб оно Native IPsec от 2.6 использовало.
Если будет глючить - тогда буду KLIPS прикручивать. 

>> В связи с чем есть такой вопрос:
>> Нужен ли народу Xauth патч?
>> Dead Peer Detection патч?
>> 
>> x509, ALG, NAT патчи нужны мне так что они точно будут.
>
> Можно включить как можно больше функциональности и выкидывать глючные..
> или наоборот - включить как можно меньше функциональность и новую
> добавлять по мере тестирования/доводки.
>
> Я предпочитаю последний вариант... 

Без этих трех патчей он мне становится неинтересен :)
Доводить в условиях отсутствия заинтересованности проблематично :)
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

[sisyphus] Re: [devel] IPsec for 2.6 kernel

[Anton Farygin]

On Thu, Apr 22, 2004 at 01:46:48PM +0300, Maxim Tyurin wrote:
> 
> Hi!
> В связи с победным шествием kernel 2.6 решил наконец сделать
> нормальный пакет *swan для данного ядра и залить его в Сизиф.

Лучше заливать в CVS ядра, если хотите что бы оно обновлялось более-менее
самостоятельно.

> 
> В связи с чем есть такой вопрос:
> Нужен ли народу Xauth патч?
> Dead Peer Detection патч?
> 
> x509, ALG, NAT патчи нужны мне так что они точно будут.

Можно включить как можно больше функциональности и выкидывать глючные..
или наоборот - включить как можно меньше функциональность и новую
добавлять по мере тестирования/доводки.

Я предпочитаю последний вариант... 

Rgds,
Rider

Re: [sisyphus] IPsec for 2.6 kernel

[Maxim Tyurin]

Dmitriy Gnidchenko <savithur@avatar.spb.ru> writes:

>> > Может и есть, но где его ставить :)
>>
>> А вы не пробовали super-freeswan из Сизифа?
>> Там есть MTS Keepalive Support
>> Гляньте /usr/share/doc/super-freeswan-1.99.8/README.SUPERFS
>
> На Production Server я принципиально не ставлю сизифус
> стоят только те пакеты что идут с Мастером.

Для начала попробовать и поставить на production это немного разные
вещи :)
Кроме того он элементарно бэкпортится на мастер. У меня самого так
работает. 

> Да и до сих пор не исправлена уже не раз описанная зависимость
> этого пакета от IPChain

Лезть в rpm & hasher у меня сейчас нет времени (да и желания тоже ;)

<scip>
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

Re: [sisyphus] IPsec for 2.6 kernel

[Dmitriy Gnidchenko]

> > Может и есть, но где его ставить :)
>
> А вы не пробовали super-freeswan из Сизифа?
> Там есть MTS Keepalive Support
> Гляньте /usr/share/doc/super-freeswan-1.99.8/README.SUPERFS

На Production Server я принципиально не ставлю сизифус
стоят только те пакеты что идут с Мастером.
Да и до сих пор не исправлена уже не раз описанная зависимость
этого пакета от IPChain

> > что бы канал отвалился надо было что бы несколько часов по
> этому
> > каналу ни чего не ходило.
>
> Или старое проверенное решение - ping в cron по всем
> интерфейсам :)
Что собственно и делал :)

Re: [sisyphus] IPsec for 2.6 kernel

[Dmitriy Gnidchenko]

On Fri, 23 Apr 2004, Maxim Tyurin wrote:

> Dmitriy Gnidchenko <savithur@avatar.spb.ru> writes:
>
> >> > Может и есть, но где его ставить :)
> >>
> >> А вы не пробовали super-freeswan из Сизифа?
> >> Там есть MTS Keepalive Support
> >> Гляньте /usr/share/doc/super-freeswan-1.99.8/README.SUPERFS
> >
> > На Production Server я принципиально не ставлю сизифус
> > стоят только те пакеты что идут с Мастером.
>
> Для начала попробовать и поставить на production это немного
> разные вещи :)

Тогда не пробовал :)
в то время когда я это делал еще небыло выдно такого пакета как
super-freeswan.

а сейчас канал давно не используется.
в основном ставлю только Линуховые шлюзы и соеденяю сети именно
на них.
Роутеры вещь очень хорошая, но не все могут позволить выложить от
4кБ (и выше) за Кошку.
Хотя с ней куда проще все делать.


> Кроме того он элементарно бэкпортится на мастер. У меня самого
> так работает.

Да самому приходится иногда так делать.


> > Да и до сих пор не исправлена уже не раз описанная
> зависимость
> > этого пакета от IPChain
>
> Лезть в rpm & hasher у меня сейчас нет времени (да и желания
> тоже ;)
> <scip>
>