Re: IPsec vragen

To: debian-user-dutch <debian-user-dutch@lists.debian.org>
Subject: Re: IPsec vragen
From: Vincent Zweije <vincent@zweije.nl>
Date: Sat, 15 Oct 2016 21:35:36 +0200
Message-id: <[🔎] 20161015193536.gsjs3tutcntrzpoa@love.zweije.nl>
Mail-followup-to: debian-user-dutch <debian-user-dutch@lists.debian.org>
In-reply-to: <[🔎] b0cc7e6e-4dc3-0263-cb08-95d87b8c4ebf@vandervlis.nl>
References: <[🔎] b0cc7e6e-4dc3-0263-cb08-95d87b8c4ebf@vandervlis.nl>

On Sat, Oct 15, 2016 at 05:23:35PM +0200, Paul van der Vlis wrote:

||  Voor VPN's gebruik ik tegenwoordig OpenVPN, maar nu is er iemand die
||  graag IPsec wil. De VPN zou moeten lopen tussen een Debian server en een
||  "Watchguard Firewall XTM 330". Komt daar veel bij kijken?

Zou mee moeten vallen denk ik. Als die twee endpoints de betreffende
routers zijn, dan ben je met een IPsec tunnel ("ESP" - encapsulated
security payload) vrij snel klaar. Als er geen verdere VPN uitbreidingen
bij deze klant in zicht zijn kun je wel volstaan met een pre-shared key
(PSK) voor authenticatie.

||  Ik begrijp dat die firewall ook OpenVPN kan, al noemen ze het daar SSL.
||  Dus ik denk dat ik dat probeer door te drukken. Maar ik zou wel graag
||  van iemand willen horen of zo'n IPsec verbinding lastig is.
||
||  Hoe goed is dat IPsec eigenlijk gestandaardiseerd tegenwoordig?

Die standaardisatie is volgens mij wel prima, het staat allemaal
in RFCs beschreven. Maar die zijn dan weer voor gewone stervelingen
onleesbaar. :-/

||  Het pakket "strongswan" gebruiken in Debian?
||  Je hebt geloof ik ook nog "libreswan" en "openswan".
||  "freeswan" heb ik vroeger wel gebruikt, in Linux 2.4.

Ik ben zelf een tijd geleden back to basics gegaan met setkey en
racoon. Ik denk dat *swan misschien handiger zijn voor de eerste keer. Ik
weet uit mijn hoofd niet welke momenteel het meest bij de tijd is,
maar ze lijken erg op elkaar.

Het grote probleem van IPsec is -vind ik- dat niemand echt een
helder verhaal heeft wat er bij komt kijken en hoe de onderdelen
samenhangen. Tegenwoordig zijn er vooral bij Debian nog wel wat blogs
die wat duidelijkheid scheppen, maar het meeste is knip-en-plak dit en
dan werkt het, maar dan werkt het toch niet maar je hebt geen idee waarom.

Eigenlijk is dat bij alle security producten het probleem, terwijl
security nou net een onderwerp is waar je wilt weten dat je geen fouten
maakt :-/ maar ik dwaal af.

||  L2TP is toch ook een soort IPsec?

L2TP is: layer-two tunneling protocol. Een protocol waarmee layer-2
links (het laagje net onder IP, denk ppp) kan worden getunneld over het
internet. L2TP doet zelf geen encryptie, maar wordt standaard bovenop
een IPsec link gebruikt in MS vpn oplossingen, volgens mij. Bovenop die
L2TP link kun je dan bijvoorbeeld dus een PPP link opzetten om je IP
verkeer weer over te laten lopen.

||  Kan IPsec tegenwoordig door NAT? (is hier geen probleem).

Dat kan; dan wordt het IPsec verkeer getunneld over UDP (poort 4500,
standaard) in plaats van direkt over IP. Als de initiator (client)
achter SNAT zit gaat het min of meer vanzelf goed, dacht ik.

Hoewel... met racoon lukte mij het niet. Maar ik weet niet (meer) of
dat aan mij lag of aan de serverinrichting op het werk, of aan de L2TP
tunnel die er overheen loopt.

Succes.
Vincent.
-- 
Vincent Zweije <vincent@zweije.nl>   | "If you're flamed in a group you
<http://www.xs4all.nl/~zweije/>      | don't read, does anybody get burnt?"
[Xhost should be taken out and shot] |            -- Paul Tomblin on a.s.r.

Attachment: signature.asc
Description: PGP signature

Reply to:

References:
- IPsec vragen
  - From: Paul van der Vlis <paul@vandervlis.nl>

Prev by Date: IPsec vragen
Next by Date: Re: IPsec vragen
Previous by thread: IPsec vragen
Next by thread: Re: IPsec vragen
Index(es):
- Date
- Thread