LINUX.ORG.RU
ФорумAdmin

openSSL vs SSLeay: настройка racoon IPSec + xl2tpd под Debian


1

1

Пытаюсь разобраться с настройкой L2TP сервера. Нашел вроде неплохую статью: https://libc6.org/page/l2tp-ipsec-server-howto

Там рассмотрен вариант с openSSL и генерацией сертификатов при помощи утилит easy-rsa (раньше входили в пакет openVPN, сейчас распространяются отдельно). Проблема следующая: у меня Debian Squeeze с предустановленным пакетом SSLeay. При попытке установить openSSL выскакивает ошибка:

# aptitude show openssl
Пакет: openssl
Состояние: не установлен
Версия: 0.9.8o-4squeeze13
Приоритет: необязательный
Раздел: utils
Сопровождающий: Debian OpenSSL Team <pkg-openssl-devel@lists.alioth.debian.org>
Размер в распакованном виде: 2 433 k
Зависимости: libc6 (>= 2.7), libssl0.9.8 (>= 0.9.8m-1), zlib1g (>= 1:1.1.4)
Предлагаются: ca-certificates
Конфликтуют: ssleay (< 0.9.2b)
Описание: Secure Socket Layer (SSL) binary and related cryptographic tools
 This package contains the openssl binary and related tools.

Теперь не знаю, как быть... Вроде, openSSL - более новая реализация, чем SSLeay. Но удалять ее и устанавливать openSSL я побаиваюсь в силу неопытности. Не возникнет ли конфликтов в результате? Мало ли, мож остальные предустановленные пакеты сконфигурированы на работу исключительно с ней?

В то же время, найти заслуживающих доверие статей/манов по настройке IPSec в связке с SSLeay, генерации сертификатов и всего в таком роде мне не удалось.

Подскажите пожалуйста, как лучше поступить в моем случае? Можно удалить SSLeay и поставить openSSL? Или все-таки как-то заставить работать racoon с тем, что есть?

Спасибо!


Настройка ipsec или l2tp никак не связана с генерированием сертификатов.
Нагенери сертификаты любым удобным способом, который сможешь осилить и возвращайся к настройке ВПН.
Можешь поставить openssl на другую машину, можешь попробовать снести ssleay на текущей. Можешь вообще взять и освоить nss.

thesis ★★★★★ ()
Ответ на: комментарий от thesis

Нууу... мне как начинающему проще поэтапно выполнять инструкции из статьи. В ней рекомендован для генерации сертификатов именно easy-rsa. Пытаюсь сделать так, как там сказано:

/usr/local/share/easy-rsa# . ./vars
/usr/local/share/easy-rsa/whichopensslcnf: 15: openssl: not found
/usr/local/share/easy-rsa/whichopensslcnf: 15: openssl: not found
/usr/local/share/easy-rsa/whichopensslcnf: 15: openssl: not found
**************************************************************
  No /usr/local/share/easy-rsa/openssl.cnf file could be found
  Further invocations will fail
**************************************************************
NOTE: If you run ./clean-all, I will be doing a rm -rf on /usr/local/share/easy-rsa/keys

Т.е. ей нужен именно openSSL. Генерить самостоятельно сертификат через SSLay (или ее утилиты) я как-то побаиваюсь, начитавшись той же статьи:

Я сразу хочу сказать, что не имеет смысла читать другие статьи на эту тему. Может вы и получите как-то работоспособное решение, но оно скорее всего будет абсолютно бесполезным, потому что то у него часть клиентов не будет подключаться, или шифрование не будет работать так, как думаете вы (часто встречал конфигурацию по сертификатам, где а) сертификатами ничего не шифровалось б) можно было использовать любой сертификат) или ещё какая фигня.

Можешь поставить openssl на другую машину

То есть, например, сгенерить сертификат соответствующей тулзой под виндой на настольком ПК, а потом заюзать его в racoon?

можешь попробовать снести ssleay на текущей

Проблем и конфликтов с уже установленными пакетами, которые той или иной реализацией SSL пользуются, не повылазит? То есть, ничего переконфигурировать не надо будет?..

Liber ()
Ответ на: комментарий от Liber

То есть, например, сгенерить сертификат соответствующей тулзой под виндой на настольком ПК, а потом заюзать его в racoon?

Совершенно верно.

Проблем и конфликтов с уже установленными пакетами, которые той или иной реализацией SSL пользуются, не повылазит?

Честно говоря, никогда не использовал SSLeay. По идее, проблем быть не должно, но ручаться не могу.
И выкинь racoon, бери openswan.

не имеет смысла читать другие статьи на эту тему

НИКОГО НЕ СЛУШАЙ СЛУШАЙ ТОЛЬКО МЕНЯ дададад.

thesis ★★★★★ ()
Ответ на: комментарий от thesis

НИКОГО НЕ СЛУШАЙ СЛУШАЙ ТОЛЬКО МЕНЯ дададад.

Ну это меня тоже позабавило ))

Просто воспринял это как предупреждение, что там в настройках легче легкого накосячить.

Спасибо за помощь! Буду думать.

Liber ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.