Туннель - чем пробить :)

[Alex Keda]

Имеем. Домаший комп связан с буком по WiFi
Последний на данный момент без шифрования - руки никак не дойдут
Онако, wep, что имеется, доверия не внушает.
Хочется чего, в итоге, на днях подыму WEP.
Однако, до кучи, неплохо бы какой-нить IPSec запихать внутри этого WEP`a.
Вот и спрашиваю - чем нынче туннели мона пробивать?
Работа IPSec + racoon на FreeBSD 4.11 меня устраивала вообще всем, но на 6.0 в свой время racoon2 не пошёл.
Как щас дела обстоят, и чё ещё мона придумать?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[alex3]

не знаю... racoon2 у меня тоже не пошел, но racoon (в составе ipsec-tools) пашет по твоей же статье. Попробуй еще radius + WPA

[Alex Keda]

у меня на AMD64 на 6.0 яро паадало при попытке запуска..
бук тоже Aтоже Поэтому и спросил.
А туннель - да, щас на test.lissyara.su исходники заливаются, может к вечеру ядро соберётся. Там машина не шустрая ))

[abanamat]

openvpn

У меня в одной конторе полтора десятка фришных писюков (3 офиса плюс выходы в разных местах) им пробиты. 10 мбит, засекурить можно до полного безобразия, lzo полезно бывает, следить за тунелями не надо - сами персистент чеки делают.

Плюс кроссплатформенность, плюс обилие возможных конфигураций.

[Alex Keda]

а вот его я не ковырял.
но щас - неохота чё-то...
==========
ты чё так и не зарегился?
Надо-то зарегится и одну мессагу от себя написать, чтоб не пропадало

[abanamat]

а вот его я не ковырял.
но щас - неохота чё-то...

ага. замучаешься с ипсеком - потраченое на ковыряние время увеличится в два раза

ты чё так и не зарегился?
Надо-то зарегится и одну мессагу от себя написать, чтоб не пропадало

вот пишу. боюсь я уже. опять потрет меня ацкий крон, а я каждый раз туплю какой у меня пароль и начинаю перебирать все пять возможных.. и не попадая, начинаю паниковать: может я шестой выдумал? письмо-то в ящике я прибиваю..

[Alex Keda]

ксати, я в письма допиасал что учётка грохается...
чтоб вопросов поменьше было.
но один хер их никто не читает ))
============================
и кстати - я смотрю опенВПН все почти щупали - как оно?
и про mpd - там шифроваться можно? Чтоб автоматом и по ключам подымалось?
(к своему стыду - до него тоже руки не дошли пока...)

[abanamat]

если сравнивать:
mpd штука нежная и не всегда работает - ppp это вам не это.
ну и скорость. mpd это мегабит от силы, openvpn - 10.

openvpn вот я лично тока с ключами и сертификатами пользую. про mpd и ключи ничего не слышал.

[Alex Keda]

ясна. ща racoon колупаю, первый.
буду на сертификатах делать, заодно статью обновлю.

[alex3]

заодно статью обновлю.

Давно пора

[Alex Keda]

да вообще, второй бы окучить, ну да ладно ))

[FreePascal]

racoon2 у меня завелся без проблем.
Использовал маны с сайта автора.
Правда не использую давно, отпала необходимость.
Там помню стартовые скрипты кривые были, вроди от NETBSD и соответственно нечего не
заводилось тк там строгая последовательность запуска сервисов нужна.

[Alex Keda]

кстати - чё там нового-то?

[FreePascal]

а я первый ракун не разу не видел тк он имя поменял, ну ето я потом узнал,
и попал на второго ракуна,так что толком нечего сказать.
Знаю чно не нужно gif описывать в rc.conf, если память не изменяет
другие девайс какието используются которые описываются в конфигах.

[Alex Keda]

всё. пробил на гифах, первом раконе, и сертификатах.
Кстати, с созданием, подъёмомо туннелей и прочего удалось обойтись штатными скриптами.
Кому срочно припрёт - на тестовой машине всё останется, на днях статья будет.

[ThaViper]

FreeBSD 6.3 с обоих сторон...
установил и настроил по http://www.lissyara.su/?id=1328 - возник вопрос:
пытаюсь проверить - шифруется ли инфа

Код: Выделить всё

srv-gw/usr/home/oleg/>tcpdump -i gif0 dst host 192.168.1.1

и в другом сеансе на той же машине делаю

Код: Выделить всё

srv-gw/usr/home/oleg/>ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1): 56 data bytes
64 bytes from 192.168.1.1: icmp_seq=0 ttl=64 time=53.213 ms
64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=52.393 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=53.473 ms
64 bytes from 192.168.1.1: icmp_seq=3 ttl=64 time=53.856 ms
64 bytes from 192.168.1.1: icmp_seq=4 ttl=64 time=53.418 ms
64 bytes from 192.168.1.1: icmp_seq=5 ttl=64 time=54.052 ms
64 bytes from 192.168.1.1: icmp_seq=6 ttl=64 time=52.450 ms

получаю вот такой вывод от tcpdump

Код: Выделить всё

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on gif0, link-type NULL (BSD loopback), capture size 96 bytes
16:16:48.188386 IP srv-gw > 192.168.1.1: ICMP echo request, id 11621, seq 0, length 64
16:16:49.207664 IP srv-gw > 192.168.1.1: ICMP echo request, id 11621, seq 1, length 64
16:16:50.226637 IP srv-gw > 192.168.1.1: ICMP echo request, id 11621, seq 2, length 64
16:16:51.249422 IP srv-gw > 192.168.1.1: ICMP echo request, id 11621, seq 3, length 64
16:16:52.281536 IP srv-gw > 192.168.1.1: ICMP echo request, id 11621, seq 4, length 64
16:16:53.307933 IP srv-gw > 192.168.1.1: ICMP echo request, id 11621, seq 5, length 64
6 packets captured
12 packets received by filter
0 packets dropped by kernel

значит ли это что инфа не шифруется или я чего-то недоучил по матчасти???

[Alex Keda]

тцпдумп смотрит до шифрации

[ThaViper]

тцпдумп смотрит до шифрации

тогда как понимать этот кусок

Код: Выделить всё

Вы можете проверить безопасность тем же ping(8), который использовался ранее. Сначала войдите на шлюз A.B.C.D и запустите:

tcpdump dst host 192.168.2.1

В другой сессии на том же хосте запустите

ping 192.168.2.1

В этот момент вы должны увидеть примерно это:

XXX tcpdump output

Теперь, как видите, tcpdump(1) показывает ESP пакеты. Если вы попытаетесь просмотреть их с параметром -s, то вероятно увидите нечто непонятное, поскольку применяется шифрование.

взятый отсюда http://www.freebsd.org/doc/ru_RU.KOI8-R ... ipsec.html

или как мне тогда можно убедиться что данные шифруются?

[Alex Keda]

посмотреть на внешнем интерфейсе, или на какомнить роутере между точками назначнеия
=======
1. мануал старый как гавно мамонта
2. ошибки есть везде

[ThaViper]

может на чем еще можно построить vpn между двумя и более сетями чтобы объединить их в одну корпоративную сетку?
например какая из твоих статей наиболее актуальна в данном случае?

[Alex Keda]

именно эта

[ThaViper]

именно эта

спасибо, буду копать дальше

[paradox]

эта...
можно попробовать и mpd
если RC4 c 128 битным шифрованием религия позволяет юзать))
а если еще патчи mppc то еще и компрессия будет - впринципе неплохая))
есть еще ipsec - помниться был када то в bsd - щас не знаю - давно не слежу
да и дааавно я им не пользовался
но настраиваеться тож просто(как я помню)

[Alex Keda]

дык - мы тут вроде IPSEC и обсуждаем.
или я уже отстал от темы?

[paradox]

racoon
эт наскоко я помню был демон такой
с ipsec эт никакого отношения вроде не имел(утверждать не берусь)