On Sat, Oct 15, 2016 at 05:23:35PM +0200, Paul van der Vlis wrote: || Voor VPN's gebruik ik tegenwoordig OpenVPN, maar nu is er iemand die || graag IPsec wil. De VPN zou moeten lopen tussen een Debian server en een || "Watchguard Firewall XTM 330". Komt daar veel bij kijken? Zou mee moeten vallen denk ik. Als die twee endpoints de betreffende routers zijn, dan ben je met een IPsec tunnel ("ESP" - encapsulated security payload) vrij snel klaar. Als er geen verdere VPN uitbreidingen bij deze klant in zicht zijn kun je wel volstaan met een pre-shared key (PSK) voor authenticatie. || Ik begrijp dat die firewall ook OpenVPN kan, al noemen ze het daar SSL. || Dus ik denk dat ik dat probeer door te drukken. Maar ik zou wel graag || van iemand willen horen of zo'n IPsec verbinding lastig is. || || Hoe goed is dat IPsec eigenlijk gestandaardiseerd tegenwoordig? Die standaardisatie is volgens mij wel prima, het staat allemaal in RFCs beschreven. Maar die zijn dan weer voor gewone stervelingen onleesbaar. :-/ || Het pakket "strongswan" gebruiken in Debian? || Je hebt geloof ik ook nog "libreswan" en "openswan". || "freeswan" heb ik vroeger wel gebruikt, in Linux 2.4. Ik ben zelf een tijd geleden back to basics gegaan met setkey en racoon. Ik denk dat *swan misschien handiger zijn voor de eerste keer. Ik weet uit mijn hoofd niet welke momenteel het meest bij de tijd is, maar ze lijken erg op elkaar. Het grote probleem van IPsec is -vind ik- dat niemand echt een helder verhaal heeft wat er bij komt kijken en hoe de onderdelen samenhangen. Tegenwoordig zijn er vooral bij Debian nog wel wat blogs die wat duidelijkheid scheppen, maar het meeste is knip-en-plak dit en dan werkt het, maar dan werkt het toch niet maar je hebt geen idee waarom. Eigenlijk is dat bij alle security producten het probleem, terwijl security nou net een onderwerp is waar je wilt weten dat je geen fouten maakt :-/ maar ik dwaal af. || L2TP is toch ook een soort IPsec? L2TP is: layer-two tunneling protocol. Een protocol waarmee layer-2 links (het laagje net onder IP, denk ppp) kan worden getunneld over het internet. L2TP doet zelf geen encryptie, maar wordt standaard bovenop een IPsec link gebruikt in MS vpn oplossingen, volgens mij. Bovenop die L2TP link kun je dan bijvoorbeeld dus een PPP link opzetten om je IP verkeer weer over te laten lopen. || Kan IPsec tegenwoordig door NAT? (is hier geen probleem). Dat kan; dan wordt het IPsec verkeer getunneld over UDP (poort 4500, standaard) in plaats van direkt over IP. Als de initiator (client) achter SNAT zit gaat het min of meer vanzelf goed, dacht ik. Hoewel... met racoon lukte mij het niet. Maar ik weet niet (meer) of dat aan mij lag of aan de serverinrichting op het werk, of aan de L2TP tunnel die er overheen loopt. Succes. Vincent. -- Vincent Zweije <vincent@zweije.nl> | "If you're flamed in a group you <http://www.xs4all.nl/~zweije/> | don't read, does anybody get burnt?" [Xhost should be taken out and shot] | -- Paul Tomblin on a.s.r.
Attachment:
signature.asc
Description: PGP signature