"UNIX és virtuális magánság (VPN)"

Dokumentáció

"Nemrég kaptunk egy megbízást, hogy feltaláljuk hogyan tud egy kormányzati szerv különböző intézményeivel úgy összebarátkozni, hogy azok mind részesüljenek a "naaagy belső hálózat" minden finom szolgáltatásából SSO azonosítással.

Három megoldást dob a gép. Ebből egy drága mint a veszedelem (mindenhova közvetlen P-t-P bérelt vonal), ezt maximum két helyre vagyunk hajlandóak megfizetni. Az überfontos és a nagyon-nagyon fontos intézményt támadjuk meg így. Remek, bekötik, fantasztikus. A többi intézmény szomorú, mert nekik csak internet hozzáférésük van és például szeretnének VoIP telefont mert az olcsó, és szeretnének még a sok minden finomságból amit a "naaagy belső hálózat"-tól lehet csak kapni mert ott van am a komoly architektura ami komoly dolgokat gyorsan csinal. Tehát a telephelyek nagy részén már van net! Ez is valami.

Választhatunk VPN (erre ugye létezik több megoldás Linux alatt) vagy VTUN közül. Mivel a VTUN nem tűnik olyan nagyon elterjedtnek így valószínűtlen, hogy egy nem Linux végpont támogatni fogja. Node sebaj megnéztük azt a kis 30+egynéhány dolláros kis varázslatos eszközt (bocs most nem lelem a linket) ami nemrég a HUP-on szerepelt. Gondoltunk rakunk ebbe Linuxot - mert ugye beagyazott rendszerekben jók vagyunk - és ő lesz a VTUN másik vége. Jó ötletnek tűnt megpróbáltunk rendelni belőle, de valamiért nem jött meg / meg sem rendelték ki emlékszik már arra. Ámde (!) közben véletlenül beesett az ajtón néhány Linksys router és ugye ha már itt vannak, akkor miért ne próbáljunk meg ezügyben is kezdeni velük valamit. Tehát megpróbálkoztunk és láss csodát, a két játékos közül a VPN-t választottuk a végén. Node álljon itt egy kicsit részletesebb leírás - a.k.a. mini Howto -.

A howto-szerűség itt olvasható.

( Aikon | 2009. 02. 15., v – 11:26 )

Aki szeret ilyesmivel játszani, és nem ismeri, az próbálja ki a monowall-t, ami egy könnyen konfigolható freebsd-s tűzfal. Legideálisabb CF kártyán, mikéntjéről a projekt oldalán vannak tutorialok. Elérhető VmWare image is.

( zoli78 | 2009. 02. 15., v – 13:30 )

nálunk is ilyesmi történet zajlott, de nálunk úgy tudom meg se rendelték a kis kütyüket, hanem vettek linksys routereket... szóval nem egy budapesti önkormányzatról van szó?

( kecsa | 2009. 02. 15., v – 14:41 )

Szakmailag 2 dolog:

1. mind az IPSec mind az IKE RFC (szabvány ~1997 óta) szóval nem kell azon meglepődni, hogy léteznek eszközök (pl. a keringő OS-ek jó része) amik kompatibilisek vele.

2. Hacsak nincs célhardware titkosításra, akkor józan ember nem nyom payload encryption-t 3DES-ből az általános célú CPU-ján. Arra az AES való. Csak 8-10x gyorsabb.

+1 racoon a de-facto szabvány erre strongswan (stringswan - hehe?) helyett. Racoon valszeg lett volna a stable debianban is.

strongswan is van stable debian-ban az etchben 2.8-as (ez csak IKE1-et tud) a lennyben 4.2-es.

A racoon amúgy szerintem sokkal rosszabb linux-on mint a *swan-ek (openswan,strongswan).

Csak egy két dolog:

Nincs normális reload, külső utility (setkey) kell a kernel policy-k karbantartásához, a *swan-ek a linuxon szabványos xfrm interfészt használják. A konfigurálása nehézkesebb...