Туннель - чем пробить :)

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Туннель - чем пробить :)

Непрочитанное сообщение Alex Keda » 2007-03-15 10:38:02

Имеем. Домаший комп связан с буком по WiFi
Последний на данный момент без шифрования - руки никак не дойдут :)
Онако, wep, что имеется, доверия не внушает.
Хочется чего, в итоге, на днях подыму WEP.
Однако, до кучи, неплохо бы какой-нить IPSec запихать внутри этого WEP`a.
Вот и спрашиваю - чем нынче туннели мона пробивать?
Работа IPSec + racoon на FreeBSD 4.11 меня устраивала вообще всем, но на 6.0 в свой время racoon2 не пошёл.
Как щас дела обстоят, и чё ещё мона придумать?
Убей их всех! Бог потом рассортирует...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Непрочитанное сообщение alex3 » 2007-03-15 10:45:05

не знаю... racoon2 у меня тоже не пошел, но racoon (в составе ipsec-tools) пашет по твоей же статье. Попробуй еще radius + WPA
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-03-15 10:58:47

у меня на AMD64 на 6.0 яро паадало при попытке запуска..
бук тоже Aтоже Поэтому и спросил.
А туннель - да, щас на test.lissyara.su исходники заливаются, может к вечеру ядро соберётся. Там машина не шустрая :)))
Убей их всех! Бог потом рассортирует...

abanamat
проходил мимо

Непрочитанное сообщение abanamat » 2007-03-15 11:13:09

openvpn

У меня в одной конторе полтора десятка фришных писюков (3 офиса плюс выходы в разных местах) им пробиты. 10 мбит, засекурить можно до полного безобразия, lzo полезно бывает, следить за тунелями не надо - сами персистент чеки делают.

Плюс кроссплатформенность, плюс обилие возможных конфигураций.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-03-15 11:22:08

а вот его я не ковырял.
но щас - неохота чё-то... :)
==========
ты чё так и не зарегился?
Надо-то зарегится и одну мессагу от себя написать, чтоб не пропадало
Убей их всех! Бог потом рассортирует...

Аватара пользователя
abanamat
сержант
Сообщения: 255
Зарегистрирован: 2007-03-15 11:24:26
Откуда: Питер
Контактная информация:

Непрочитанное сообщение abanamat » 2007-03-15 11:30:02

lissyara писал(а):а вот его я не ковырял.
но щас - неохота чё-то... :)
ага. замучаешься с ипсеком - потраченое на ковыряние время увеличится в два раза ;)
ты чё так и не зарегился?
Надо-то зарегится и одну мессагу от себя написать, чтоб не пропадало
вот пишу. боюсь я уже. опять потрет меня ацкий крон, а я каждый раз туплю какой у меня пароль и начинаю перебирать все пять возможных.. и не попадая, начинаю паниковать: может я шестой выдумал? письмо-то в ящике я прибиваю..

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-03-15 11:35:08

ксати, я в письма допиасал что учётка грохается...
чтоб вопросов поменьше было.
но один хер их никто не читает :)))
============================
и кстати - я смотрю опенВПН все почти щупали - как оно?
и про mpd - там шифроваться можно? Чтоб автоматом и по ключам подымалось?
(к своему стыду - до него тоже руки не дошли пока...)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
abanamat
сержант
Сообщения: 255
Зарегистрирован: 2007-03-15 11:24:26
Откуда: Питер
Контактная информация:

Непрочитанное сообщение abanamat » 2007-03-15 11:39:52

если сравнивать:
mpd штука нежная и не всегда работает - ppp это вам не это.
ну и скорость. mpd это мегабит от силы, openvpn - 10.

openvpn вот я лично тока с ключами и сертификатами пользую. про mpd и ключи ничего не слышал.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-03-15 13:42:40

ясна. ща racoon колупаю, первый.
буду на сертификатах делать, заодно статью обновлю.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Непрочитанное сообщение alex3 » 2007-03-15 13:45:18

заодно статью обновлю.
Давно пора :)
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-03-15 13:46:13

да вообще, второй бы окучить, ну да ладно :)))
Убей их всех! Бог потом рассортирует...

Аватара пользователя
FreePascal
сержант
Сообщения: 245
Зарегистрирован: 2006-05-14 8:50:05
Контактная информация:

Непрочитанное сообщение FreePascal » 2007-03-15 23:16:03

racoon2 у меня завелся без проблем.
Использовал маны с сайта автора.
Правда не использую давно, отпала необходимость.
Там помню стартовые скрипты кривые были, вроди от NETBSD и соответственно нечего не
заводилось тк там строгая последовательность запуска сервисов нужна.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-03-16 0:13:21

кстати - чё там нового-то?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
FreePascal
сержант
Сообщения: 245
Зарегистрирован: 2006-05-14 8:50:05
Контактная информация:

Непрочитанное сообщение FreePascal » 2007-03-16 0:46:50

а я первый ракун не разу не видел тк он имя поменял, ну ето я потом узнал,
и попал на второго ракуна,так что толком нечего сказать.
Знаю чно не нужно gif описывать в rc.conf, если память не изменяет
другие девайс какието используются которые описываются в конфигах.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-03-16 8:48:26

всё. пробил на гифах, первом раконе, и сертификатах.
Кстати, с созданием, подъёмомо туннелей и прочего удалось обойтись штатными скриптами.
Кому срочно припрёт - на тестовой машине всё останется, на днях статья будет.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
ThaViper
рядовой
Сообщения: 13
Зарегистрирован: 2007-12-21 20:48:30
Откуда: Украина, Днепропетровск
Контактная информация:

Re: Туннель - чем пробить :)

Непрочитанное сообщение ThaViper » 2008-03-19 17:35:53

FreeBSD 6.3 с обоих сторон...
установил и настроил по http://www.lissyara.su/?id=1328 - возник вопрос:
пытаюсь проверить - шифруется ли инфа

Код: Выделить всё

srv-gw/usr/home/oleg/>tcpdump -i gif0 dst host 192.168.1.1
и в другом сеансе на той же машине делаю

Код: Выделить всё

srv-gw/usr/home/oleg/>ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1): 56 data bytes
64 bytes from 192.168.1.1: icmp_seq=0 ttl=64 time=53.213 ms
64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=52.393 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=53.473 ms
64 bytes from 192.168.1.1: icmp_seq=3 ttl=64 time=53.856 ms
64 bytes from 192.168.1.1: icmp_seq=4 ttl=64 time=53.418 ms
64 bytes from 192.168.1.1: icmp_seq=5 ttl=64 time=54.052 ms
64 bytes from 192.168.1.1: icmp_seq=6 ttl=64 time=52.450 ms
получаю вот такой вывод от tcpdump

Код: Выделить всё

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on gif0, link-type NULL (BSD loopback), capture size 96 bytes
16:16:48.188386 IP srv-gw > 192.168.1.1: ICMP echo request, id 11621, seq 0, length 64
16:16:49.207664 IP srv-gw > 192.168.1.1: ICMP echo request, id 11621, seq 1, length 64
16:16:50.226637 IP srv-gw > 192.168.1.1: ICMP echo request, id 11621, seq 2, length 64
16:16:51.249422 IP srv-gw > 192.168.1.1: ICMP echo request, id 11621, seq 3, length 64
16:16:52.281536 IP srv-gw > 192.168.1.1: ICMP echo request, id 11621, seq 4, length 64
16:16:53.307933 IP srv-gw > 192.168.1.1: ICMP echo request, id 11621, seq 5, length 64
6 packets captured
12 packets received by filter
0 packets dropped by kernel
значит ли это что инфа не шифруется или я чего-то недоучил по матчасти???

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Туннель - чем пробить :)

Непрочитанное сообщение Alex Keda » 2008-03-19 20:06:11

тцпдумп смотрит до шифрации
Убей их всех! Бог потом рассортирует...

Аватара пользователя
ThaViper
рядовой
Сообщения: 13
Зарегистрирован: 2007-12-21 20:48:30
Откуда: Украина, Днепропетровск
Контактная информация:

Re: Туннель - чем пробить :)

Непрочитанное сообщение ThaViper » 2008-03-19 20:22:16

lissyara писал(а):тцпдумп смотрит до шифрации
тогда как понимать этот кусок

Код: Выделить всё

Вы можете проверить безопасность тем же ping(8), который использовался ранее. Сначала войдите на шлюз A.B.C.D и запустите:

tcpdump dst host 192.168.2.1

В другой сессии на том же хосте запустите

ping 192.168.2.1

В этот момент вы должны увидеть примерно это:

XXX tcpdump output

Теперь, как видите, tcpdump(1) показывает ESP пакеты. Если вы попытаетесь просмотреть их с параметром -s, то вероятно увидите нечто непонятное, поскольку применяется шифрование.
взятый отсюда http://www.freebsd.org/doc/ru_RU.KOI8-R ... ipsec.html

или как мне тогда можно убедиться что данные шифруются?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Туннель - чем пробить :)

Непрочитанное сообщение Alex Keda » 2008-03-19 20:30:18

посмотреть на внешнем интерфейсе, или на какомнить роутере между точками назначнеия
=======
1. мануал старый как гавно мамонта
2. ошибки есть везде
Убей их всех! Бог потом рассортирует...

Аватара пользователя
ThaViper
рядовой
Сообщения: 13
Зарегистрирован: 2007-12-21 20:48:30
Откуда: Украина, Днепропетровск
Контактная информация:

Re: Туннель - чем пробить :)

Непрочитанное сообщение ThaViper » 2008-03-19 20:34:18

может на чем еще можно построить vpn между двумя и более сетями чтобы объединить их в одну корпоративную сетку?
например какая из твоих статей наиболее актуальна в данном случае?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Туннель - чем пробить :)

Непрочитанное сообщение Alex Keda » 2008-03-19 21:13:58

именно эта
Убей их всех! Бог потом рассортирует...

Аватара пользователя
ThaViper
рядовой
Сообщения: 13
Зарегистрирован: 2007-12-21 20:48:30
Откуда: Украина, Днепропетровск
Контактная информация:

Re: Туннель - чем пробить :)

Непрочитанное сообщение ThaViper » 2008-03-19 21:44:02

lissyara писал(а):именно эта
спасибо, буду копать дальше

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Туннель - чем пробить :)

Непрочитанное сообщение paradox » 2008-03-20 1:58:36

эта...
можно попробовать и mpd
если RC4 c 128 битным шифрованием религия позволяет юзать))
а если еще патчи mppc то еще и компрессия будет - впринципе неплохая))
есть еще ipsec - помниться был када то в bsd - щас не знаю - давно не слежу
да и дааавно я им не пользовался
но настраиваеться тож просто(как я помню)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Туннель - чем пробить :)

Непрочитанное сообщение Alex Keda » 2008-03-20 9:49:44

дык - мы тут вроде IPSEC и обсуждаем.
или я уже отстал от темы?
Убей их всех! Бог потом рассортирует...

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Туннель - чем пробить :)

Непрочитанное сообщение paradox » 2008-03-20 14:01:52

racoon
эт наскоко я помню был демон такой
с ipsec эт никакого отношения вроде не имел(утверждать не берусь)