VPN strongSwan a certifikát

[ales]

Ahoj,
potřeboval bych pomoci s nastavením strongswan vpn serveru. Snažím se jej rozchodit, aby po ověření uživatelského jména a hesla pustil uživatele do vnitřní sítě. Připojení mi havaruje na certifikátu, který Windows chce, jenže o tom nikde není ani řeč.
Inspiraci beru zde: http://www.strongswan.org/uml/testresults/ikev1/rw-psk-ipv4/

Chci, aby připojení bylo co nejjednodušší - žádné certifikáty. Jen login a heslo. Jde to vůbec nějak?

Díky Aleš

[Reklama]

[stewe]

toto je cela veda poradim ti iny softver ako strongwan, velmi dobry je http://www.openswan.org/ a aj sa aktivne vyvija. strongswan tusim nie ... dalej, ako l2tp vrstvu doporucujem xl2tp http://www.xelerance.com/services/software/xl2tpd/ . urcite to pojde, aj ked windows je trochu blbo na tom, ale ja som to nastavoval medzi linuxom a mac os x a islo to takze windows by mal ist tiez ... urcite to pojde len s menom / heslom, inak by si mal pouzit aj certifikat ...

[ales]

Openswan nemá podporu v mém distru. A do kompilace openswanu a kusu jádra se mi moc nechce.
Mrtvý je freeswan. Koukám, že těch vpn serverů je celkem dost.
U strongswanu je problém, že negeneruje certifikát, který by se podstrčil Windows a na webu toho taky moc napsáno nebylo.

[stewe]

tych *swan-ov je vela ale len openswan je ako tak stabilny a perspektivny, openswan je tusim zo strongswanu a strongswan sa povazuje za deprecated ... vpn je celkovo dost problematicka, teda linux - mac pripadne windows lebo v macu a vo windows maximalne kaslu na linux v tomto a linux sa musi prisposobovat. spravit to funkcne s mac os je doslova heroicka uloha, vela krat to je pokus / omyl lebo oni si to proste robia po svojom ... a do toho este xl2tp resp. l2tp vrstva ... prepac za offtopic, tento prispevok ti asi velmi nepomohol :-/ ake mas distro?

[PCnity]

Ze by bol prave StrongSwan deprecated je IMHO blabol... Oba su efektivne forkom FreeSwanu pricom OpenSwan skor zacal ist cestou enterprise a riesit hovadiny typu Oportunistic Encryption... etc.

Cudujem sa ze distro nema podporu OpenSwanu ked ma podporu StrongSwanu, ale napriek tomu si myslim ze ti to moze byt jedno...

Ide skor a implementaciu pricom u nas su nasadene aj OpenSwany s Netkey, aj StrongSwany s Netkey a hlavne moja oblubena kombinacia OpenSwan s KLIPS. (netkey je 2.6 jadrach, cize je casto preferovany distribuciou... Aj ked potom pisat fw ruly je podstatne zlozitejsie) Inak je cela perspektivita OpenSwanu niekde v nedohladne s ich verziou 3.0 ktoru uz roky predtavuju... A aj cela dokumentacia OpenSwanu je neporovnatelne horsia oproti StrongSwanu.

Tebe asi ide o to autorizovat pomocou PSK, cize jednorazovo vopred znameho hesla obom stranam... Lenze otazka je ci chces mat vopred neznamych peerov? Pretoze pokial nepoznas vopred kombinaciu left a right peer IP, tam vlasne riesis Road Warior system kde je tvoj left dany, ale right side je any... V tomto pripade vsak musia mat vsetci ten isty PSK.
x509 ma potom velku vyhodu.

Napis viac detailov a skusim pomoct s konfigom.

1) Su vsetky peer IP adressy vopred zname a rozdielne?
2) Mozu mat rovanake pary rovanky PSK?
3) Ake distro?
4) Chces urcite L2? Nestaci L3?

[Reklama]

[LC]

napr varianta B
http://wiki.strongswan.org/projects/strongswan/wiki/Windows7

[sanoma]

Proč nepoužít IPsec tunel přímo z Windows? Pokud nebude vadit limitace kryptovacího protokolu na maximálně 3DES a SHA1 pro zajištění integrity?
Je možné použít PSK a nebo cerftifikát vygenerovatelný přes OpenSSL.

[ales]

1) Su vsetky peer IP adressy vopred zname a rozdielne?
 Nejsou. Známá je jenom IP serveru (a ten je ještě ke všemu schován za natem, ale není problém na něj nasměrovat vše, co je potřeba)
2) Mozu mat rovanake pary rovanky PSK?
Jestli není stejné PSK bezpečnostní díra, a dala by se tím prolomit komunikace, tak bych pak i preferoval x509
3) Ake distro?
opensuse 11.4
4) Chces urcite L2? Nestaci L3?
Koukal jsem, že L2 je nativně podporováno windowsem (jak PTPP, tak L2TP). Na L3 je tuším jen OpenVPN.