[WL::Techniek] IPSEC / certs

Richard van Mansom richard at vanmansom.net
Wed May 14 20:11:59 CEST 2008


> Ik gebruik bij OpenVPN van een 2K key. Dit is aanzienlijk minder dan een
> shared key. Door dat met een 2K key te versleutelen zijn meer resources
> nodig dan een shared key. Is dit niet appel en peren vergelijken?

> eh. bedoel je een 2048bits key? dat is meer dan een shared key, niet
> minder. maar inderdaad, dat is appels en peren vergelijken. die
> 2048bits is voor een public-key algoritme, en het enige wat daarmee
> gebeurt is dat er een gegenereerde (128bit of 256bit) shared key mee
> wordt versleuteld. de data die daadwerkelijk over de lijn gaat wordt
> nooit met een public key algoritme versleuteld, dat zou *veel* te
> zwaar zijn.

Ja ik bedoel een 2048bits key, en ik dacht dat een 2048bits cert ook
resulteerde in een 2048bits key.

> De tunnel werkt voor ik racoon en ipsec enable.

> dan heb je nu twee dingen in parallel draaien, een gewone niet-IPsec
> tunnel en een IPsec tunnel. voor je iets IPsec doet zou er niets van
> tunnels actief moeten zijn.

> kan je een precieze reeks stappen posten die je gebruikt?

Zoals eerder gezegd heb ik meerdere handleidingen doorgenomen, en doen ze
veel al het zelfde.
Een 'gemiddelde' handleiding:
http://www.freebsd.org/doc/en/books/handbook/ipsec.html deze heb ik stap
voor stap geprobeerd, zonder het boot gedeelte en heb geen ipfw
geïnstalleerd voor test doeleinde (zit niet in de kernel). Ook kloppen de
kernel device/modules (in de conffile) niet altijd (make buildkernel herkend
ze niet). Ze zijn ook ontworpen voor verschillende versies van FreeBSD

Om certs gebruiken, hoe overkom je het verhaal met twee gelijke punten. Als
ik OpenSSL gebruik dan heb ik set van certs welke op de server moeten de
andere op de client (node). 

Mvg,

Richard



More information about the Techniek mailing list