Новая статья - FreeS/WAN и WinXP

> мы устанавливаем FreeS/WAN v1.99 в gentoo linux ..

и это правильно, gentoo - образцовый линух дистрибутив, радует что наконец народ начинает понимать это :)

vpn между linux и windows через ipsec не очень стабильна. Кроме того, AFAIR для w2k необходимо наличие sp3. Надежнее, быстрее и проще использовать openvpn http://openvpn.sourceforge.net

Вот бы ещё сделать туннельный режим между линухом и 2К/XP

IPSec умные люди постоянно проверяют. Про OpenVPN это сказать нельзя.

Если не хочешь sp3 ставить подключи через PGPnet.

ИМХО у тебя в статье неточность

> Данное описание подразумевает, что у нас будет работать только протокол ESP (Encapsulating Security Payload) с использованием MD5 хеша и шифрования 3DES. Просьба помнить, что в транспортном режиме ESP шифрует только полезные данные, а не весь пакет (например, инкапсуляция при туннелировании),, поэтому злоумышленник может спокойно изменить заголовок. Однако это очень страшный и редкий злоумышленник, занесенный в красную книгу, работающий за очень приличные деньги. Для пресечения этого безобразия крутите AH(Authentication Header).

ESP кроме шифрования отлично еще и аутентификацию делает.

Отлично! Больше ссылок таких! Больше!!!

openvpn проверяют только глупые люди ? Я от не самых глупых слышал отзывы про то как не поднимался ipsec тунель через freeswan между двумя linux после перезагрузки одной из машин.

>ESP кроме шифрования отлично еще и аутентификацию делает. >MrKooll (*) (16.02.2004 10:28:49)

ESP аутентификацию самих данных и пакет получается вида: нехешированный заголовок IP+хеш данных MD5+зашифрованные данные это в транспортном режиме; AH в транспортном режиме отвечает за создания хеша всего пакета, включая заголовок IP. Не совсем корректно выразил свою мысль, подправлю. (навскидку в гугле нашел www.jetinfo.ru/1998/7-8/1/obsetra.html)

> Вот бы ещё сделать туннельный режим между линухом и 2К/XP > anonymous (*) (16.02.2004 10:24:14) установка тунельного режима

W2K<->linux прекрасно описана на www.freeswan.org в разделе Online Documentation->Interoperating

транспортный режим решил описать только потому, что по нему документации нет вообще, даже на английском - ссылка, данная на freeswan'е, http://security.nta.no/freeswan-w2k.html не работает.

> openvpn проверяют только глупые люди ? Я от не самых глупых слышал отзывы про то как не поднимался ipsec тунель через freeswan между двумя linux после перезагрузки одной из машин.

Версии меняются - баги фиксят. А вообще на серверах должны стоять в обязательном порядке IMHO программы мониторинга состояний сервисов (monit например) и тогда жизнь становится легче. Например, мониторинг freeswan и его соединений помог бы в такой ситуации (хотя она и нештатная).

Так я про это и говорил. Просто немного туманно описано. Я знаю что AH в отличие от ESP охватывает контрольной суммой еще и заголовок IP.

Но выход простой гонять в туннельном режиме.

Я имею в виду что IPSec это стандарт IETF и проверяется очень тщательно.

> Я имею в виду что IPSec это стандарт IETF и проверяется очень тщательно.

вот правильная мысль. IPSec - это стандарт. OpenVPN - это продукт. В IPSec можно использовать разные алгоритмы шифрования, IPSec расширяем и изменяем, оставаясь стандартом. OpenVPN - это просто конкретная реализация. Поэтому их некорректно сравнивать. Можно сравнивать FreeS/WAN и OpenVPN, например.

> это у нас отключает так называемый Reverse Path Filtering. Принцип действия этого механизма: Если ответ на текущий пакет не может уйти через тот же интерфейс (когда приходит через один интерфейс, а уходит через другой), пакет отфильтровывается.

Если честно, не очень понятна эта фраза.