PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : vpn mit freeswan UND skip



23.10.00, 16:58
moin moin,

ich versuche gerade "schmerzhaft" ein vpn mit freeswan und skip unter redhat zum laufen zu bringen ... erfolge bisher:
freeswan kompiliert den kernel nochmal, wo ich doch grade erst fertisch war mit [wie hieß es imma? read the ****ing manual?]
so weit so gut. für skip nahm ich ENskip, dat wollte allerdings das skip.conf in die /etc/init.d schreiben, was fehlschlug und wirre fehlermeldung in mäßiger anzahl erzeugte. hätte man denen nich sagen sollen, dat redhat das ganze unter /etc/rc.d ablegt, also incl init.d ...
daraus resultiert mein prob im moment:
wie bekomme ich unter redhat, kernel 2.2.14 ein vpn aufgebaut, daß skip beherrscht?
gibbet noch wat anderes außer freeswan?

cu iae and have ...
mbo

24.10.00, 16:36
hm, dann bin ich wohl der einzige, der sich mit diesem thema auseinander setzen will ;-)

cu/2 iae

25.10.00, 08:09
Hi,

im LINUX Magazin 9/2000 war ein Artikel drin. Tut mir leid, aber mehr kann ich dir leider auch nicht helfen.

Gruß

F1B

25.10.00, 09:20
Es gibt noch ciper!

Einfach unter freashmeat schauen!

Bis Bald

Henning Wackernagel

25.10.00, 13:13
Hmm,

für cipe brauchst du auf der anderen Seite aber wieder einen Rechner, auf dem cipe läuft. Mit freeswan kannst du z.B. zu einem Cisco Router ein VPN aufbauen. Kommt also auf deine Gegenstelle drauf an, was du einsetzen kannst. Freeswan hab ich noch nicht getestet aber cipe funktioniert echt klasse zwischen LINUX Kisten.

Gruß

F1B

25.10.00, 14:38
ups, hab ich ciper geschrieben, sorry es heist cipe!

Ja! fuer cipe brauchst du eine gegenstelle die auch cipe spricht aber du brauchst fuer FreeSwan auch ein gegenueber der IP/Sec spricht. Ja ok, das machen die meisten neuen Cisco-Router (so viel ich weis aber nicht alle!).

Ach ja, was bedeutet eigentich skip??? Ich stehe irgendwie gerade auf dem Schlauch!

Bis Bald

Henning Wackernagel

25.10.00, 16:05
FreeS/WAN mit Skip is wohl nich zu lösen http://www.linuxforen.de/ubb/frown.gif
aber vorher die erklärung: FreeS/WAN hat IKE fürs key-management implementiert. die lösungsforderung liegt aber bei skip, dat, was sun für solaris entwickelt hat. ENskip is die "portierung" für linux. letztes update von 97 in der version 0.67 ... ich würd mich ja freun, wenn jemand sowas als neuer hätte, nur keine suchmaschine zeigt mir was.
fbit hats in ihrer linuxwall, da steht auch was von patchen und bla bla, aber genau das wird nix -> kernel panic ... das rootverz kann nich gemountet werden *hmpf*

ergo: entweder mit viel überzeugungsarbeit auf ike umstellen [was n haufen geld kostet] oder es sein lassen, unter linux ne vpn mit skip aufzubauen [was auch viel geld kostet]
die welt is ungerecht http://www.linuxforen.de/ubb/wink.gif

cu/2 iae

26.10.00, 07:50
Morgen,

auf die Gefahr hin, daß du das schon kennst. Wie wärs mit dieser Anleitung: http://www.tik.ee.ethz.ch/~skip/
Falls ja, sorry ;-)
Gruß

F1B

26.10.00, 09:22
*lach* genau dat macht mir ja die probleme, und dummerweise isses wohl dat einzige.

ich hab heute morgen erfahren, dat der 2.4er es nicht mehr unterstützt, und der 2.2er es nich will -> die nötigen einstellungen sollen für einen kernelpanic sorgen ... das hab ich gestern sehr deutlich gemerkt, nur frag ich mich imma noch warum http://www.linuxforen.de/ubb/frown.gif
in kurzfassung: bin ich der einzige der so doof is?

cu/2 iae

30.10.00, 10:34
hiho,

ich hab mir mal die seite von Enskip durchgelesen. Mir kommt das so vor als waehre das die vorstufe zu IP-Sec.

Das was Skip macht kann auch IP-Sec also sollte FreeSwan das schon von Hause aus können und man braucht skip nicht.

Sehe ich hier etwas falsch????

Bis Bald

Henning Wackernagel

30.10.00, 11:32
hm, ganz ehrlich? im moment seh ich nich mehr ganz durch http://www.linuxforen.de/ubb/frown.gif
so wie ich es im moment sehe, ist in ENskip das zusammengefaßt, was unter FreeS/WAN mehr oder weniger getrennt läuft:
- authentifizierung über IPsec
- verschlüsselung der daten per IKE
[kann auch sein, daß ich zu doof dafür bin, und das ganze anders aufgebaut ist].

unter ENskip habe ich bisher den hinweis auf die authentifizierung vermißt, deswegen ging ich davon aus, daß man mit FreeS/WAN [loggen inkl mit IPsec] die authentifizierung macht und, da ja die SKIP-verschlüsselung gewünscht ist, das IKE deaktiviert und an ENskip die verschlüsselung übergibt.

ABER:

es ist wohl so, daß unter ENskip alles lief, und bei FreeS/WAN das ganze getrennt wurde, allerdings immer noch zusammengehört [was zusammen wächst]

in allen dokus fehlte der hinweis, daß gewisse kerneloptionen einfach erforderlich sind, obwohl es sie gar net mehr gibt ... oder so ... weiß der deibel http://www.linuxforen.de/ubb/wink.gif

cu/2 iae

ps: ergo - deine vermutung ist richtig [behaupte ich] allerdings frage ich mich, was macht man mit der skip-verschlüsselung? *heul*

30.10.00, 15:50
hm, mi ducht, i hob a prob ...

FreeS/WAN arbeitet mit IPsec, IPsec authentifiziert die rechner und daraufhin wird festgestellt, dat der, der da klopft, auch klopfen darf. wenn ja, gibbet ein vpn.
da das inet dafür "getunnelt" wird, soll dat ganze verschlüsselt werden. und da kommt bei FreeS/WAN IKE zum tragen ... key managment hin und her ... skip is von sun, und die fahren wohl gut damit. oder sind?
ENskip hat wohl alles intus gehabt, is aber offensichtlich überholt worden, ohne eingeholt worden zu sein [was für geschichtsverständnis http://www.linuxforen.de/ubb/wink.gif].

i thx f a

cu/2 iae

31.10.00, 00:07
hiho mbo,

Fuer was brauchst du die IKE(oder Skip-Verschlüsselung)?

So wie ich das sehe solltest du mal unter OpenSSL schauen ob dort diese Verschluesselung vorhanden ist, da FreeSwan diese Libary benutzt um seine Verschluesselung zu machen (glaube ich).

Aber im grunde ist es doch egal wie du es machst solange eine Authentifizierung vorhanden ist, da diese mit der gegenstelle ausmachen muss mit welcher Verschlüsselung die Daten verschlüsselt werden sollen (was für ein Satz, jetzt sehe ich nur noch Schlüssel!).

So wie ich das sehe reicht dir FreeSwan und Skip bzw. Enskip wurde das letzte mal 1997 upgedatet.

Bis Bald

Henning Wackernagel