Страница 1 из 2
Туннель - чем пробить :)
Добавлено: 2007-03-15 10:38:02
Alex Keda
Имеем. Домаший комп связан с буком по WiFi
Последний на данный момент без шифрования - руки никак не дойдут
Онако, wep, что имеется, доверия не внушает.
Хочется чего, в итоге, на днях подыму WEP.
Однако, до кучи, неплохо бы какой-нить IPSec запихать внутри этого WEP`a.
Вот и спрашиваю - чем нынче туннели мона пробивать?
Работа IPSec + racoon на FreeBSD 4.11 меня устраивала вообще всем, но на 6.0 в свой время racoon2 не пошёл.
Как щас дела обстоят, и чё ещё мона придумать?
Добавлено: 2007-03-15 10:45:05
alex3
не знаю... racoon2 у меня тоже не пошел, но racoon (в составе ipsec-tools) пашет по твоей же статье. Попробуй еще radius + WPA
Добавлено: 2007-03-15 10:58:47
Alex Keda
у меня на AMD64 на 6.0 яро паадало при попытке запуска..
бук тоже Aтоже Поэтому и спросил.
А туннель - да, щас на test.lissyara.su исходники заливаются, может к вечеру ядро соберётся. Там машина не шустрая
))
Добавлено: 2007-03-15 11:13:09
abanamat
openvpn
У меня в одной конторе полтора десятка фришных писюков (3 офиса плюс выходы в разных местах) им пробиты. 10 мбит, засекурить можно до полного безобразия, lzo полезно бывает, следить за тунелями не надо - сами персистент чеки делают.
Плюс кроссплатформенность, плюс обилие возможных конфигураций.
Добавлено: 2007-03-15 11:22:08
Alex Keda
а вот его я не ковырял.
но щас - неохота чё-то...
==========
ты чё так и не зарегился?
Надо-то зарегится и одну мессагу от себя написать, чтоб не пропадало
Добавлено: 2007-03-15 11:30:02
abanamat
lissyara писал(а):а вот его я не ковырял.
но щас - неохота чё-то...
ага. замучаешься с ипсеком - потраченое на ковыряние время увеличится в два раза
ты чё так и не зарегился?
Надо-то зарегится и одну мессагу от себя написать, чтоб не пропадало
вот пишу. боюсь я уже. опять потрет меня ацкий крон, а я каждый раз туплю какой у меня пароль и начинаю перебирать все пять возможных.. и не попадая, начинаю паниковать: может я шестой выдумал? письмо-то в ящике я прибиваю..
Добавлено: 2007-03-15 11:35:08
Alex Keda
ксати, я в письма допиасал что учётка грохается...
чтоб вопросов поменьше было.
но один хер их никто не читает
))
============================
и кстати - я смотрю опенВПН все почти щупали - как оно?
и про mpd - там шифроваться можно? Чтоб автоматом и по ключам подымалось?
(к своему стыду - до него тоже руки не дошли пока...)
Добавлено: 2007-03-15 11:39:52
abanamat
если сравнивать:
mpd штука нежная и не всегда работает - ppp это вам не это.
ну и скорость. mpd это мегабит от силы, openvpn - 10.
openvpn вот я лично тока с ключами и сертификатами пользую. про mpd и ключи ничего не слышал.
Добавлено: 2007-03-15 13:42:40
Alex Keda
ясна. ща racoon колупаю, первый.
буду на сертификатах делать, заодно статью обновлю.
Добавлено: 2007-03-15 13:45:18
alex3
заодно статью обновлю.
Давно пора
Добавлено: 2007-03-15 13:46:13
Alex Keda
да вообще, второй бы окучить, ну да ладно
))
Добавлено: 2007-03-15 23:16:03
FreePascal
racoon2 у меня завелся без проблем.
Использовал маны с сайта автора.
Правда не использую давно, отпала необходимость.
Там помню стартовые скрипты кривые были, вроди от NETBSD и соответственно нечего не
заводилось тк там строгая последовательность запуска сервисов нужна.
Добавлено: 2007-03-16 0:13:21
Alex Keda
кстати - чё там нового-то?
Добавлено: 2007-03-16 0:46:50
FreePascal
а я первый ракун не разу не видел тк он имя поменял, ну ето я потом узнал,
и попал на второго ракуна,так что толком нечего сказать.
Знаю чно не нужно gif описывать в rc.conf, если память не изменяет
другие девайс какието используются которые описываются в конфигах.
Добавлено: 2007-03-16 8:48:26
Alex Keda
всё. пробил на гифах, первом раконе, и сертификатах.
Кстати, с созданием, подъёмомо туннелей и прочего удалось обойтись штатными скриптами.
Кому срочно припрёт - на тестовой машине всё останется, на днях статья будет.
Re: Туннель - чем пробить :)
Добавлено: 2008-03-19 17:35:53
ThaViper
FreeBSD 6.3 с обоих сторон...
установил и настроил по
http://www.lissyara.su/?id=1328 - возник вопрос:
пытаюсь проверить - шифруется ли инфа
Код: Выделить всё
srv-gw/usr/home/oleg/>tcpdump -i gif0 dst host 192.168.1.1
и в другом сеансе на той же машине делаю
Код: Выделить всё
srv-gw/usr/home/oleg/>ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1): 56 data bytes
64 bytes from 192.168.1.1: icmp_seq=0 ttl=64 time=53.213 ms
64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=52.393 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=53.473 ms
64 bytes from 192.168.1.1: icmp_seq=3 ttl=64 time=53.856 ms
64 bytes from 192.168.1.1: icmp_seq=4 ttl=64 time=53.418 ms
64 bytes from 192.168.1.1: icmp_seq=5 ttl=64 time=54.052 ms
64 bytes from 192.168.1.1: icmp_seq=6 ttl=64 time=52.450 ms
получаю вот такой вывод от
tcpdump
Код: Выделить всё
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on gif0, link-type NULL (BSD loopback), capture size 96 bytes
16:16:48.188386 IP srv-gw > 192.168.1.1: ICMP echo request, id 11621, seq 0, length 64
16:16:49.207664 IP srv-gw > 192.168.1.1: ICMP echo request, id 11621, seq 1, length 64
16:16:50.226637 IP srv-gw > 192.168.1.1: ICMP echo request, id 11621, seq 2, length 64
16:16:51.249422 IP srv-gw > 192.168.1.1: ICMP echo request, id 11621, seq 3, length 64
16:16:52.281536 IP srv-gw > 192.168.1.1: ICMP echo request, id 11621, seq 4, length 64
16:16:53.307933 IP srv-gw > 192.168.1.1: ICMP echo request, id 11621, seq 5, length 64
6 packets captured
12 packets received by filter
0 packets dropped by kernel
значит ли это что инфа не шифруется или я чего-то недоучил по матчасти???
Re: Туннель - чем пробить :)
Добавлено: 2008-03-19 20:06:11
Alex Keda
тцпдумп смотрит до шифрации
Re: Туннель - чем пробить :)
Добавлено: 2008-03-19 20:22:16
ThaViper
lissyara писал(а):тцпдумп смотрит до шифрации
тогда как понимать этот кусок
Код: Выделить всё
Вы можете проверить безопасность тем же ping(8), который использовался ранее. Сначала войдите на шлюз A.B.C.D и запустите:
tcpdump dst host 192.168.2.1
В другой сессии на том же хосте запустите
ping 192.168.2.1
В этот момент вы должны увидеть примерно это:
XXX tcpdump output
Теперь, как видите, tcpdump(1) показывает ESP пакеты. Если вы попытаетесь просмотреть их с параметром -s, то вероятно увидите нечто непонятное, поскольку применяется шифрование.
взятый отсюда
http://www.freebsd.org/doc/ru_RU.KOI8-R ... ipsec.html
или как мне тогда можно убедиться что данные шифруются?
Re: Туннель - чем пробить :)
Добавлено: 2008-03-19 20:30:18
Alex Keda
посмотреть на внешнем интерфейсе, или на какомнить роутере между точками назначнеия
=======
1. мануал старый как гавно мамонта
2. ошибки есть везде
Re: Туннель - чем пробить :)
Добавлено: 2008-03-19 20:34:18
ThaViper
может на чем еще можно построить vpn между двумя и более сетями чтобы объединить их в одну корпоративную сетку?
например какая из твоих статей наиболее актуальна в данном случае?
Re: Туннель - чем пробить :)
Добавлено: 2008-03-19 21:13:58
Alex Keda
именно эта
Re: Туннель - чем пробить :)
Добавлено: 2008-03-19 21:44:02
ThaViper
lissyara писал(а):именно эта
спасибо, буду копать дальше
Re: Туннель - чем пробить :)
Добавлено: 2008-03-20 1:58:36
paradox
эта...
можно попробовать и mpd
если RC4 c 128 битным шифрованием религия позволяет юзать))
а если еще патчи mppc то еще и компрессия будет - впринципе неплохая))
есть еще ipsec - помниться был када то в bsd - щас не знаю - давно не слежу
да и дааавно я им не пользовался
но настраиваеться тож просто(как я помню)
Re: Туннель - чем пробить :)
Добавлено: 2008-03-20 9:49:44
Alex Keda
дык - мы тут вроде IPSEC и обсуждаем.
или я уже отстал от темы?
Re: Туннель - чем пробить :)
Добавлено: 2008-03-20 14:01:52
paradox
racoon
эт наскоко я помню был демон такой
с ipsec эт никакого отношения вроде не имел(утверждать не берусь)