Re: IPsec vragen

To: debian-user-dutch@lists.debian.org
Subject: Re: IPsec vragen
From: Richard Lucassen <mailinglists@lucassen.org>
Date: Tue, 18 Oct 2016 09:52:02 +0200
Message-id: <[🔎] 20161018095202.1742f97e77449057211fb218@lucassen.org>
References: <[🔎] b0cc7e6e-4dc3-0263-cb08-95d87b8c4ebf@vandervlis.nl>

On Sat, 15 Oct 2016 17:23:35 +0200
Paul van der Vlis <paul@vandervlis.nl> wrote:

> Voor VPN's gebruik ik tegenwoordig OpenVPN, maar nu is er iemand die
> graag IPsec wil. De VPN zou moeten lopen tussen een Debian server en
> een "Watchguard Firewall XTM 330". Komt daar veel bij kijken?

IPSEC is een academisch protocol dat in theorie altijd werkt maar in de
paaktijk is er altijd gezeik als het tussen twee verschillende vendors
moet werken. Het hoort samen met pptp, l2tp en ftp op de digitale
schroothoop te staan IMHO.

Een andere ramp vind ik dat IPSEC geen eigen tunnel device heeft en je
allerlei truken moet uithalen om ervoor te zorgen dat verkeer in de
tunnel niet genat wordt. Bovendien komt het opzetten van zo'n tunnel
vaak neer op trial and error omdat de RFC's door de verschillende
vendors anders worden geinterpreteerd

> Ik begrijp dat die firewall ook OpenVPN kan, al noemen ze het daar
> SSL. Dus ik denk dat ik dat probeer door te drukken. Maar ik zou wel
> graag van iemand willen horen of zo'n IPsec verbinding lastig is.

Ik zo sowieso gaan voor de OpenVPN oplossing. Simpel en effectief. En
retestabiel.

> Hoe goed is dat IPsec eigenlijk gestandaardiseerd tegenwoordig?

Het is een naar ipv4 geporteerd protocol dat voor ipv6 is ontworpen
(vandaar native geen NAT). Om het te natten wordt de troep in een udp
stream gezet. Hoe idioot kun je het maken.

> Het pakket "strongswan" gebruiken in Debian?
> Je hebt geloof ik ook nog "libreswan" en "openswan".
> "freeswan" heb ik vroeger wel gebruikt, in Linux 2.4.

Strongswan werkt op zich het simpelst. En praat ook goed met de Azure
cloud. Verder moet ik het op sommige plekken wel draaien, maar ik zet
het altijd op een aparte machine die dat afhandelt. Dat is wel zo
duidelijk voor de routering en dergelijke (die zie je namelijk niet in
je routetabellen, ook zo'n fijne feature van IPSEC)

> L2TP is toch ook een soort IPsec?

Als je layer2 wilt tunnelen pak dan OpenVPN met tap devices. Het is een
gedrocht dat je ook nog eens met ipsec moet beveiligen. Houd de dingen
simpel zou ik zeggen.

Ik zou eerder bij die klant een los OpenVPN doosje neerzetten die je
aan hun firewall hangt in een DMZ. Vervuil je eigen systeem niet met
IPSEC zou ik zeggen.

En vaak heeft "de IPSEC overkant" alleen maar een GUI met 3 opties en
dan moet jij je er maar aan gaan aanpassen. "Ik wens je veel personeel"
zeiden de Joden vroeger als ze een hekel aan alkaar hadden. Ik weet nog
een versie met IPSEC :)

R.

-- 
richard lucassen
http://contact.xaq.nl/

Reply to:

References:
- IPsec vragen
  - From: Paul van der Vlis <paul@vandervlis.nl>

Prev by Date: Re: IPsec vragen
Next by Date: Re: IPsec vragen
Previous by thread: Re: IPsec vragen
Next by thread: Re: IPsec vragen
Index(es):
- Date
- Thread