LINUX.ORG.RU
решено ФорумAdmin

Посоветуйте решение для IPSEC

 , ,


0

1

Прочитал, что есть 3 программулины:
1) ipsec-tools (racoon)
2) openswan
3) iproute/iproute2.

Мои критерии (в порядке приоритета):

1. Быстрота работы
2. Отказоустойчивость
3. Очевидность конфигов
На той стороне стоит Cisco в режиме «Main mode» с простым ключом (Pre-shared Key).

Что посоветуете, товарищи?

★★★★★

Последнее исправление: Novator (всего исправлений: 3)

Для связи fortigate/asa5505 <> linux я использовал openswan (netkey stack) и собрал все грабли, которые можно было собрать. Тем не менее настраивается все довольно легко, конфиги довольно внятные. Не знаю, что ты подразумеваешь под отказоустойчивостью, но повангую — после детектирования падения туннеля происходит его авторестарт.

BOOBLIK ★★★
()
Ответ на: комментарий от BOOBLIK

Верно, мне нужно, чтоб при заморозке или дисконнекте, сам переподключался. А лучше, чтоб не было ни заморозок, ни дисконнектов.

Чувак на Хабре пару ключей в камментах посоветовал. Он кстати тоже на openswan остановился.

Novator ★★★★★
() автор топика
Ответ на: комментарий от nerve

Не-не, линукс уже работает, менять не планирую.

Novator ★★★★★
() автор топика
Ответ на: комментарий от Lavos

В репах есть ещё: strongswan.

А это что за фрукт?

Novator ★★★★★
() автор топика

Насчет цыски не скажу, но

Racoon вроде сдох же?
А из swan'ов имхо лучше всего strongswan. Простой одиночный туннель с PSK на чем угодно должен заработать, да и конфиги у всех сильно похожие, однако у стронга хотя бы логи можно читать и понимать, если что-то пошло не так. У pluto же логи как будто нарочно мутные и непонятные.

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)
13 октября 2014 г.
Ответ на: Насчет цыски не скажу, но от thesis

Ох и натра%ался я с этим ipsec'ом!...
Если openvpn настраивается за 15 минут, то с ipsec'ом неделю ё-ся.

Выводы:
1. Заработала только новая версия StrongSWAN 5.2.1.
Репозиторий был взят этот:
https://launchpad.net/~strongswan/ archive/ubuntu/strongswan-daily
Ни штатный strongswan 4.5.1, ни openswan, ни racoon работать не хотели.

Ставил под root'ом примерно так: 

add-apt-repository -y ppa:strongswan/strongswan-daily
apt-get update
apt-get -y install strongswan ipsec-tools strongswan-ikev1 strongswan-ikev2 strongswan-starter

2. Для Pre-shared-key настройки пошли вот эти:
(на той стороне стоит роутер/маршрутизатор Zyxel, с Cisco тоже поднимается, но пинги почему-то не идут, я думаю проблема там)

/etc/ipsec.conf 

conn    %default
        type=tunnel
        ike=3des-md5-modp1024
        keyexchange=ikev1
        esp=3des-md5
        left=111.111.111.111
        leftsubnet=192.168.5.0/24
        authby=psk
        leftauth=psk
        rightauth=psk
        auto=start
        ikelifetime=240m
        keylife=60m
        rekeymargin=3m
        keyingtries=1
        dpdaction=restart
        dpddelay=30s
        dpdtimeout=180s

conn channel1
        right=222.222.222.222
        rightsubnet=192.168.1.0/24
        auto=start

/etc/ipsec.secrets 

%any 222.222.222.222 : PSK "ParolnayaFraza123"
222.222.222.222 %any : PSK "ParolnayaFraza123"

Где:
222.222.222.222 - удалённый внешний ip,
111.111.111.111 - мой внешний ip

Перезапуск делаю таким шелом:
/etc/ipsec.restart 

#!/bin/sh
/usr/sbin/ipsec stop
killall pluto
killall charon
/usr/sbin/ipsec start
sleep 2
/usr/sbin/ipsec statusall

Надеюсь, кому-то поможет.

Novator ★★★★★
() автор топика
Последнее исправление: Novator (всего исправлений: 2)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin