[WL::Techniek] IPSEC / certs aanvulling

Richard van Mansom richard at vanmansom.net
Wed May 14 20:49:48 CEST 2008


> Ik gebruik bij OpenVPN van een 2K key. Dit is aanzienlijk minder dan een
> shared key. Door dat met een 2K key te versleutelen zijn meer resources
> nodig dan een shared key. Is dit niet appel en peren vergelijken?

> eh. bedoel je een 2048bits key? dat is meer dan een shared key, niet
> minder. maar inderdaad, dat is appels en peren vergelijken. die
> 2048bits is voor een public-key algoritme, en het enige wat daarmee
> gebeurt is dat er een gegenereerde (128bit of 256bit) shared key mee
> wordt versleuteld. de data die daadwerkelijk over de lijn gaat wordt
> nooit met een public key algoritme versleuteld, dat zou *veel* te
> zwaar zijn.

Ja ik bedoel een 2048bits key, en ik dacht dat een 2048bits cert ook
resulteerde in een 2048bits key.

> De tunnel werkt voor ik racoon en ipsec enable.

> dan heb je nu twee dingen in parallel draaien, een gewone niet-IPsec
> tunnel en een IPsec tunnel. voor je iets IPsec doet zou er niets van
> tunnels actief moeten zijn.

> kan je een precieze reeks stappen posten die je gebruikt?

Zoals eerder gezegd heb ik meerdere handleidingen doorgenomen, en doen ze
veel al het zelfde.
Een 'gemiddelde' handleiding:
http://www.freebsd.org/doc/en/books/handbook/ipsec.html deze heb ik stap
voor stap geprobeerd, zonder het boot gedeelte en heb geen ipfw
geïnstalleerd voor test doeleinde (zit niet in de kernel). Ook kloppen de
kernel device/modules (in de conffile) niet altijd (make buildkernel herkend
ze niet). Ze zijn ook ontworpen voor verschillende versies van FreeBSD

Om certs gebruiken, hoe overkom je het verhaal met twee gelijke punten. Als
ik OpenSSL gebruik dan heb ik set van certs welke op de server moeten de
andere op de client (node). 

----
Ik heb de genoemde handleiding gevolgd ditmaal zonder het aanmaken van een
GIF. Nog steeds geen vooruitgang
Misschien ook wel handig om te noemen, volgens de handleiding zou er
beveiliging info moeten staan bij "setkey -D" echter geeft FreeBSD "No SAD
entries" weer (ook bij het gebruik van een GIF). 
Het gaat om een IPSEC tunnel, racoon maakt ook geen tunnel aan (in
ifconfig), ik verklaarde dat door het handmatig aanmaken van de gif. Dat was
1 van de redenen in die handleiding.

Ben kwijt wie het was, maar er had toch iemand geëxperimenteerd met IPSEC.
Hoe heeft die het werkend gekregen (hind :))
----

Mvg,

Richard

-- 
Techniek mailing list
Techniek at lijst.wirelessleiden.nl
http://lijst.wirelessleiden.nl/mailman/listinfo/techniek


__________ NOD32 3099 (20080514) Information __________

This message was checked by NOD32 antivirus system.
http://www.eset.com




More information about the Techniek mailing list