Re: ipsec openbsd 3.4 <-> freebsd 4.9

From: Flemming Jacobsen (none@fj--batmule.dk.lh.bsd-dk.dk)
Date: Tue 23 Dec 2003 - 17:48:56 CET 

Date: Tue, 23 Dec 2003 17:48:56 +0100
From: Flemming Jacobsen <none@fj--batmule.dk.lh.bsd-dk.dk>
To: bsd-dk@bsd-dk.dk
Subject: Re: ipsec openbsd 3.4 <-> freebsd 4.9

jkv wrote:
> Jeg sidder og forsøger at sætte en "vpn" op mellem en openbsd og freebsd.
> Openbsd siden har jeg styr på, men er i tvivl når det gælder
> freebsd og setkey.
>
> Er det nok at køre de relevante 2 spdadd, 1 for out og en for in,
> eller skal det igennem et gif interface før det virker?

Ja, det er nok.

At nogen bruger gif (der løst kan sammenlignes med en GRE tunnel)
er formentlig af 1 eller flere af flg. årsager:
  1) Trafikken får sit eget interface at "komme fra", hvilket
     letter filtrering af netop denne tunnel.
  2) Ved at pakke trafikken ind i en gif tunnel, så bliver den
     til IP trafik der kan IPSec'es. Forudsat selvfølgelig at man
     har non-IP trafik til at starte med ;-)
  3) Nogle af de første eksempler på nettet brugte en gif tunnel.

Jeg har en FreeBSD box der kører IPSec mod en Cisco 3000 VPN
koncentrator. Og jeg benytter ikke gif.
Det virker perfekt (bortset fra når den gamle version af racoon
jeg bruger stener et par timer efter at linket bliver revet lidt
brutalt ned - men det kan sikkert klares med en upgrade).

        FJ 

-- 
Flemming Jacobsen                                  Email: fj@batmule.dk
   ---===   If speed kills, Windows users may live forever.   ===---

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:34 CET