[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Consulta sobre Ipsec y Openswan

El Lunes, 12 de Diciembre de 2005 19:54, Iñaki escribió:
|| Hola, tengo la necesidad de montar una VPN en modo tunnel con Ipsec.
||
|| No tengo mucha experiencia en el tema, pero sé la teoría y sé configurar
|| una VPN entre dos Debian haciendo de router con los paquetes "ipsec-tools"
|| y "racoon", y haciendo la configuración a mano de los ficheros
|| "/etc/ipsec-tools.conf", "/etc/racoon/racoon.conf" y
|| "/etc/racoon/psk.txt". Bueno, más bien digamos que tiro de howto a saco.
||
|| No obstante y como curiosidad hoy mismo al instalar esos paquetes el dpkg
|| me ha dado a elegir entre dos modos, uno como si fuese el típico (lo que
|| yo sé) y otro que decía no sé qué de "todo junto" o algo así, que el caso
|| es que si lo elegía me daba un error al iniciar "setkey" o "racoon", algo
|| relacionado con una línea de un módulo de criptografía y bla bla.
||
|| Bueno, el caso es que tengo que hacer la VPN entre dos routers que tienen
|| ADSL con IP dinámica a los que les he puesto un dominio dinámico de
|| dyndns.org, así que con paciencia estoy creando unos scritps que detectan
|| la IP local y remota periódicamente y en caso de necesidad modifican los
|| archivos de configuración de ipsec y racoon y reinician el servicio para
|| permitir el túnel.
||
||
|| A lo que iba: Resulta que he oído hablar de Freeswan, que en Debian parece
|| haber sido sustituido por Openswan. Al fin y al cabo es un método para
|| usar Ipsec, pero parece ser que permite configurar más fácilmente las
|| VPN's, aunque poco más sé.
||
|| - ¿Alguien me podría orientar un poco sobre lo que aporta Openswan frente
|| a usar Ipsec y racoon "a pelo"?
||
|| - ¿Openswan requiere de racoon para la fase preliminar o usa otro
|| protocolo?
||
|| - Puesto que en el fondo es Ipsec, supongo que un Linux con Openswan puede
|| hacer una VPN contra un router que implemente Ipsec, ¿verdad? ¿pero qué
|| hay de la fase preliminar? ¿usan racoon? ¿otra cosa?
||
|| - ¿Puedo conectar una Debian con Openswan a otra Debian con Ipsec "a
|| pelo"?
||
|| Por supuesto sería bienvenida cualquier URL que explique un poco el tema,
|| ya que no he encontrado nada que describa lo que necesito saber.
||
||
|| Agradezco cualquier aclaración ya que mañana mismo me tengo que poner
|| manos a la obra y no tengo mucho tiempo de documentarme, así que si
|| alguien me da buenas razones para meterme en Openswan lo haré aunque
|| pierda un poco de tiempo. Al fin y al cabo estoy empezando ahora con las
|| VPN y desearía empezar por el camino más adecuado.
||
||
||
|| PD: He visto que una de las dependencias de Openswan es "host", y
|| casualmente los scripts que yo estoy haciendo para VPN con IP dinámica
|| tiro de "host" para averiguar la IP del dominio remoto y si acaso
|| actualizar mis configuraciones. ¿Tal vez Openswan permita poner nombres de
|| dominios con IP dinámica y no sólo IP's que es lo que permite
|| Ipsec+Racoon?
||
||
||
||
|| Muchas gracias a todos y un saludo.


Bueno, he estado horas y horas buscando y más o menos he llegado a la 
conclusión siguiente:

- Openswan es la continuación del olvidado Freeswan.

- Los Kernel 2.6 incluyen todos los módulos de ipsec y cliptrográficos 
necesarios para hacer VPNs con Ipsec (instalando el paquete ipsec-tools y 
racoon).
* Así pues, ¿qué puede aportar usar Openswan sobre tratar con el ipsec del 
kernel directamente?
* ¿Qué diferencias básicas hay entre ambos (si es que uno no es parte del 
otro)?

- Yo tengo entendido que en Ipsec no se pueden poner dominios, deben ser IPs 
fijas, por lo que hay que tirar de scripts que modifiquen las IPs 
correspondientes cada vez que cambia la IP local o remota y reiniciar los 
servicios racoon y setkey.
* A todo esto he visto ejemplos de Openswan en los que es más fácil IPs 
dinámicas ya que permite poner directamente el dominio, aunque no evita tener 
que controlar periódicamente los cambios de IP para reiniciar el servicio y 
que pueda volver a funcionar. ¿Alguien podría comentar algo sobre este tema?

- Ipsec manejado directamente se usa con el paquete "racoon" para el protocolo 
preliminar IKE, en cambio Openswan usa "Pluto" para el diálogo IKE.
* ¿Alguna diferencia reseñable?


Eso es todo, muchas gracias por cualquier ayuda.


-- 
que a mí ni me va ni me viene... pero por comentar...
Reply to: