Názory k článku
Tuneluji, tuneluješ, tunelujeme: spoofing protection

Nechápu, proč autor v článku používá u slova PING velká písmena. V češtině se všemi velkými písmeny píšou většinou zkratky, viz NATO, USA, CZLUG.
Navíc je to příkaz v Unixu, kdy po zadání "PING" to všem lidem, kteří to budou slepě opisovat vypíše akorát chybovou hlášku.

Je to urcita forma zvyrazneni onoho slova, nebot je v onech odstavcich podstatne. A clovek ktery nevi, ze prikazy v UNIXu se pisou malym by asi stejne nemel IPSec konfigurovat :-)

Treba to opravdu "slepe opisoval" a dlouho se s tim trapil, proto si ted stezuje :-)))

Dobry den, predem dekuji za hezky serial. Na IPSec se chystam, chci sifrovat provoz od cca 4 wifi klinetu, kteri tvori 1 etherntovske rozhrani. Predpokladam, ze musim mit tunel pro kazdeho klienta(IP adresu). Utahne to stare P166,24Mram? Nebo je nejaky zpusob, jak IPsec prehodit na jiny, silnejsi stroj (treba jako smtp, prijde spojeni na slaby firewall, ale presmeruje se na silnejsi stroj v DMZone). Diky.

Z te popisovane konfigurace nejsem moc moudry - ale pokud chcete pripojovat jednotlive klienty, tak bych tipoval ze je potreba pro kazdeho jeden tunel.

Ohledne vykonu - nevim jak vysoke rychlosti chcete provozovat, slychavam, ze sifrovani je narocne na vykon CPU (hlavne u SSL), ale nikdy jsem s tim problemy nemel. Ale snad by to melo stacit.

Kdysi jsem pro nekoho delal test narocnosti IPsecu na slabem stroji. V archivu sve posty jsem nasel 2 roky stary mail, kde pisu:

> Linuxova implementace IPSsecu (FreeS/WAN) zvlada na
> pocitaci 486/66 prenaset sifrovana data rychlosti cca 130 KB/s (tedy
> asi 1 Mbit/s). Toto je realny prenos dat nad TCP a v tomto cisle tedy
> neni zapocitana rezie TCP, IP a Ethernetu, cili realne je takto tento
> pocitac schopen zatizit linku cca 1.2 Mbit/s jednosmerne, pripadne
> asi 600 kbit/s obousmerne.

-Yenya

Odpovědi na nejčastější otázky o výkonu a nárocích jsou v dokumentaci:
http://www.freeswan.org/freeswan_trees/freeswan-2.01/doc/performance.html

Diky za velmi cenne tipy!
Jeste bych se primlouval za pokracovani clanku, kde by byl probrany NAT-Traversal (viz http://www.freeswan.ca nebo primo WOLK http://sourceforge.net/forum/forum.php?forum_id=272768), coz je vec, ktera by mnohe jiste zajimala. Jeste par linku
http://www.isp-planet.com/technology/nat_ipsec_p2.html
http://www.isp-planet.com/technology/2001/ipsec_nat.html

ntw

Bohuzel s timto nemam zadne zkusenosti, takze ja to pravdepodobne nenapisu :-)

Je otázkou, zda při použití NAT-Traversal, který vás připraví o hlavní výhody IPsec, má ještě smysl vůbec IPsec používat. Jestli už pak není vhodnější rovnou použít třeba CIPE.

Provedl jsem takovyto prikaz:
iptables -t nat -A PREROUTING -i eth1 -p tcp -d 195.xxx.xxx.xxx --dport
80 -j DNAT --to 192.168.0.xxx ale spletl jsem se v cisle portu.
Diky

# iptables -L PREROUTING -t nat --line-numbers
podivat se na cislo toho chybneho prikazu
# iptable -D PREROUTING cislo -t nat

Nebo ho pomocí '-R' můžete rovnou opravit.

Ovela jednoduchsia realizacia secure tunelovania s podporou komprtesie (LZO alebo ZLIB )je pomocou balika vtun vid. http://vtun.sourceforge.net/.

Důvody byly vysvětleny už v minulém díle seriálu... Řešení jako vtun fungují jen tehdy, když máte na obou stranách totéž. IPsec je univerzální standard, takže můžete mít na každé straně úplně jinou platformu a úplně jinou implementaci. A IPv6 nás dříve či později nemine (měli bychom se snažit, aby to bylo co nejdříve).

Prave je otazkou, jestli je vtun v dusledku jednodussi. Pokud se clovek nauci delat s IPSecem, tak je to v pohode. Drive jsem pouzival cIPe, ale IPSec nabizi standardni a siroce podporovane reseni.
BTW dobra literatura pro zacatecniky je Oleg Kolesnikov, Brian Hatch - "Building Linux Virtual Private Networks" (obsah na http://www.buildinglinuxvpns.net/contents/ )
ntw

Zdravim,
nevite nekdo o nakym tunelu, co umi bezet prez HTTP? Rekneme, ze chci z moji LAN prez WAN na moji druhou LAN normalne fungovat, ale povolena (na WANu) je jenom komunikace prez HTTP proxy.

Diky, smrt QoS fasizmu