Alain> Et donc vous etes compatible avec vous même.
Deux points : - en quoi suis-je compatible uniquement avec moi même ? Toute implémentation ip disposant d'interfaces gif/gre et d'une implémentation ipsec peut interopérer avec ce que j'ai mis en place. - en quoi est-ce ici un problème, même si c'était le cas ? Cette mise en oeuvre me sert dans le cadre d'une infrastructure privée, par conséquent l'interopérabilité avec Jean Kevin ne n'intéresse que très moyennement.
Alain> L'absence de moyen de filtrage des sorties des tunnels Alain> IPSEC sous FreeBSD ou NetBSD dévalue complètement par exemple Alain> l'utilisation possible de ces plateformes dans la vraie vie.
L'utilisation d'un tunnel gif/gre sur ipsec transport répond aux problèmes de filtrage, même si le filtrage sur le contenu encodé permettrait de s'assurer que seul du traffic gif/gre passe bien dans le lient transport c'est un fait (et hop une règle à ajouter sur les machines OpenBSD).
Alain> Ca montre bien aussi que "IPSEC ça pue" et que ça a été Alain> inventé par des gens qui ont pas bien compris les problemes Alain> réels.
Pourriez vous développer ?
Eric Masson
-- Et puis, toutes ces couleurs dans l'écran, quelle horreur ! Je viens d'appeler Gaumont, ils disent qu'ils seraient très intéressés par une suite d'Hibernatus avec toi dans le rôle principal. -+- FM in Guide du Macounet Pervers : l'interface platine, y'a pire -+-
Alain> Et donc vous etes compatible avec vous même.
Deux points :
- en quoi suis-je compatible uniquement avec moi même ?
Toute implémentation ip disposant d'interfaces gif/gre et d'une
implémentation ipsec peut interopérer avec ce que j'ai mis en place.
- en quoi est-ce ici un problème, même si c'était le cas ?
Cette mise en oeuvre me sert dans le cadre d'une infrastructure
privée, par conséquent l'interopérabilité avec Jean Kevin ne
n'intéresse que très moyennement.
Alain> L'absence de moyen de filtrage des sorties des tunnels
Alain> IPSEC sous FreeBSD ou NetBSD dévalue complètement par exemple
Alain> l'utilisation possible de ces plateformes dans la vraie vie.
L'utilisation d'un tunnel gif/gre sur ipsec transport répond aux
problèmes de filtrage, même si le filtrage sur le contenu encodé
permettrait de s'assurer que seul du traffic gif/gre passe bien dans le
lient transport c'est un fait (et hop une règle à ajouter sur les
machines OpenBSD).
Alain> Ca montre bien aussi que "IPSEC ça pue" et que ça a été
Alain> inventé par des gens qui ont pas bien compris les problemes
Alain> réels.
Pourriez vous développer ?
Eric Masson
--
Et puis, toutes ces couleurs dans l'écran, quelle horreur !
Je viens d'appeler Gaumont, ils disent qu'ils seraient très intéressés
par une suite d'Hibernatus avec toi dans le rôle principal.
-+- FM in Guide du Macounet Pervers : l'interface platine, y'a pire -+-
Alain> Et donc vous etes compatible avec vous même.
Deux points : - en quoi suis-je compatible uniquement avec moi même ? Toute implémentation ip disposant d'interfaces gif/gre et d'une implémentation ipsec peut interopérer avec ce que j'ai mis en place. - en quoi est-ce ici un problème, même si c'était le cas ? Cette mise en oeuvre me sert dans le cadre d'une infrastructure privée, par conséquent l'interopérabilité avec Jean Kevin ne n'intéresse que très moyennement.
Alain> L'absence de moyen de filtrage des sorties des tunnels Alain> IPSEC sous FreeBSD ou NetBSD dévalue complètement par exemple Alain> l'utilisation possible de ces plateformes dans la vraie vie.
L'utilisation d'un tunnel gif/gre sur ipsec transport répond aux problèmes de filtrage, même si le filtrage sur le contenu encodé permettrait de s'assurer que seul du traffic gif/gre passe bien dans le lient transport c'est un fait (et hop une règle à ajouter sur les machines OpenBSD).
Alain> Ca montre bien aussi que "IPSEC ça pue" et que ça a été Alain> inventé par des gens qui ont pas bien compris les problemes Alain> réels.
Pourriez vous développer ?
Eric Masson
-- Et puis, toutes ces couleurs dans l'écran, quelle horreur ! Je viens d'appeler Gaumont, ils disent qu'ils seraient très intéressés par une suite d'Hibernatus avec toi dans le rôle principal. -+- FM in Guide du Macounet Pervers : l'interface platine, y'a pire -+-
Vincent Bernat
OoO En cette matinée pluvieuse du jeudi 06 mai 2004, vers 10:51, Eric Masson disait:
Effectivement, je contourne ce genre de problème en utilisant des tunnels gre/gif sécurisés par un lien ipsec transport, les solutions que j'avais envisagé avec des tunnels ipsec natifs me paraissaient un poil trop compliqué pour assurer une maintenance simple à postériori.
Tu peux dire en deux mots comment tu fais ? Disons que tu as initialement un lien IPsec en mode tunnel et je veux le transformer suivant ta solution, il faut faire quoi ? -- I WILL NOT FAKE SEIZURES I WILL NOT FAKE SEIZURES I WILL NOT FAKE SEIZURES -+- Bart Simpson on chalkboard in episode 8F23
OoO En cette matinée pluvieuse du jeudi 06 mai 2004, vers 10:51, Eric
Masson <emss@free.fr> disait:
Effectivement, je contourne ce genre de problème en utilisant des
tunnels gre/gif sécurisés par un lien ipsec transport, les solutions que
j'avais envisagé avec des tunnels ipsec natifs me paraissaient un poil
trop compliqué pour assurer une maintenance simple à postériori.
Tu peux dire en deux mots comment tu fais ? Disons que tu as
initialement un lien IPsec en mode tunnel et je veux le transformer
suivant ta solution, il faut faire quoi ?
--
I WILL NOT FAKE SEIZURES
I WILL NOT FAKE SEIZURES
I WILL NOT FAKE SEIZURES
-+- Bart Simpson on chalkboard in episode 8F23
OoO En cette matinée pluvieuse du jeudi 06 mai 2004, vers 10:51, Eric Masson disait:
Effectivement, je contourne ce genre de problème en utilisant des tunnels gre/gif sécurisés par un lien ipsec transport, les solutions que j'avais envisagé avec des tunnels ipsec natifs me paraissaient un poil trop compliqué pour assurer une maintenance simple à postériori.
Tu peux dire en deux mots comment tu fais ? Disons que tu as initialement un lien IPsec en mode tunnel et je veux le transformer suivant ta solution, il faut faire quoi ? -- I WILL NOT FAKE SEIZURES I WILL NOT FAKE SEIZURES I WILL NOT FAKE SEIZURES -+- Bart Simpson on chalkboard in episode 8F23
Vincent Bernat
OoO En cette matinée pluvieuse du jeudi 06 mai 2004, vers 10:02, Cedric Blancher disait:
Elle présente un réel intérêt, en particulier si on a besoin de faire du NAT sur le flux IPSEC en entrée ou en sortie. En effet, sous Linux, le trafic en PREROUTING/POSTROUTING est encore chiffré, il est donc impossible de modifier les paquets tunnelés. C'est pas exemple utile si on veut faire du LAN/LAN avec une passerelle qui n'accepte que du host/LAN, auquel cas on doit SNATer le trafic routé via le lien IPSEC. Y'a pleins d'autre problématiques de filtrage qui se règles mieux si on a une interface IPSEC à disposition que si on ne l'a pas.
Si je résume : faire à une machine ayant une patte en IPsec du NAT n'est pour le moment pas possible (à moins d'aller chercher dans le patchomatic) ? Justement, je n'y arrivais pas. :) -- /* * We used to try various strange things. Let's not. */ 2.2.16 /usr/src/linux/fs/buffer.c
OoO En cette matinée pluvieuse du jeudi 06 mai 2004, vers 10:02,
Cedric Blancher <blancher@cartel-securite.fr> disait:
Elle présente un réel intérêt, en particulier si on a besoin de faire
du NAT sur le flux IPSEC en entrée ou en sortie. En effet, sous Linux,
le trafic en PREROUTING/POSTROUTING est encore chiffré, il est donc
impossible de modifier les paquets tunnelés. C'est pas exemple utile
si on veut faire du LAN/LAN avec une passerelle qui n'accepte que du
host/LAN, auquel cas on doit SNATer le trafic routé via le lien IPSEC.
Y'a pleins d'autre problématiques de filtrage qui se règles mieux si on
a une interface IPSEC à disposition que si on ne l'a pas.
Si je résume : faire à une machine ayant une patte en IPsec du NAT
n'est pour le moment pas possible (à moins d'aller chercher dans le
patchomatic) ? Justement, je n'y arrivais pas. :)
--
/*
* We used to try various strange things. Let's not.
*/
2.2.16 /usr/src/linux/fs/buffer.c
OoO En cette matinée pluvieuse du jeudi 06 mai 2004, vers 10:02, Cedric Blancher disait:
Elle présente un réel intérêt, en particulier si on a besoin de faire du NAT sur le flux IPSEC en entrée ou en sortie. En effet, sous Linux, le trafic en PREROUTING/POSTROUTING est encore chiffré, il est donc impossible de modifier les paquets tunnelés. C'est pas exemple utile si on veut faire du LAN/LAN avec une passerelle qui n'accepte que du host/LAN, auquel cas on doit SNATer le trafic routé via le lien IPSEC. Y'a pleins d'autre problématiques de filtrage qui se règles mieux si on a une interface IPSEC à disposition que si on ne l'a pas.
Si je résume : faire à une machine ayant une patte en IPsec du NAT n'est pour le moment pas possible (à moins d'aller chercher dans le patchomatic) ? Justement, je n'y arrivais pas. :) -- /* * We used to try various strange things. Let's not. */ 2.2.16 /usr/src/linux/fs/buffer.c
Cedric Blancher
Le Thu, 06 May 2004 13:32:27 +0000, Vincent Bernat a écrit :
Si je résume : faire à une machine ayant une patte en IPsec du NAT n'est pour le moment pas possible (à moins d'aller chercher dans le patchomatic) ?
Faire du NAT sur le flux IP routé via le tunnel IPSEC n'est actuellement pas possible sur l'implémentation native du noyau 2.6, or utilisation des patches adéquats du patch-o-matic, en effet.
Mais pour clarifier les choses, on peut faire du NAT sur les flux normaux sortant par cette interface, comme le font toutes les passerelles d'accès à Internet qui font du NAT en sortie et IPSEC vers un site central.
-- Le truc c'est qu'avec MacOS l'utilisateur neuneu pouvait aussi etre administrateur neuneu, et que ca, ca sera bien fini. -+ ED in Guide du Macounet Pervers : il voit des neuneus partout -+-
Le Thu, 06 May 2004 13:32:27 +0000, Vincent Bernat a écrit :
Si je résume : faire à une machine ayant une patte en IPsec du NAT
n'est pour le moment pas possible (à moins d'aller chercher dans le
patchomatic) ?
Faire du NAT sur le flux IP routé via le tunnel IPSEC n'est actuellement
pas possible sur l'implémentation native du noyau 2.6, or utilisation des
patches adéquats du patch-o-matic, en effet.
Mais pour clarifier les choses, on peut faire du NAT sur les flux normaux
sortant par cette interface, comme le font toutes les passerelles d'accès
à Internet qui font du NAT en sortie et IPSEC vers un site central.
--
Le truc c'est qu'avec MacOS l'utilisateur neuneu pouvait aussi etre
administrateur neuneu, et que ca, ca sera bien fini.
-+ ED in Guide du Macounet Pervers : il voit des neuneus partout -+-
Le Thu, 06 May 2004 13:32:27 +0000, Vincent Bernat a écrit :
Si je résume : faire à une machine ayant une patte en IPsec du NAT n'est pour le moment pas possible (à moins d'aller chercher dans le patchomatic) ?
Faire du NAT sur le flux IP routé via le tunnel IPSEC n'est actuellement pas possible sur l'implémentation native du noyau 2.6, or utilisation des patches adéquats du patch-o-matic, en effet.
Mais pour clarifier les choses, on peut faire du NAT sur les flux normaux sortant par cette interface, comme le font toutes les passerelles d'accès à Internet qui font du NAT en sortie et IPSEC vers un site central.
-- Le truc c'est qu'avec MacOS l'utilisateur neuneu pouvait aussi etre administrateur neuneu, et que ca, ca sera bien fini. -+ ED in Guide du Macounet Pervers : il voit des neuneus partout -+-
Eric Masson
"Vincent" == Vincent Bernat writes:
'Lut,
Vincent> Tu peux dire en deux mots comment tu fais ? Disons que tu as Vincent> initialement un lien IPsec en mode tunnel et je veux le Vincent> transformer suivant ta solution, il faut faire quoi ?
Tu crées la/les routes vers l/les autre(s) extrémité(s) du/des tunnel(s)
route add peer_ext peer_mask my_ext_gw
Tu crées des tunnels gif entre les interfaces externes de tes passerelles de sécurité :
Tu configures la couche ipsec de la passerelle pour que le traffic en direction de/des autre(s) passerelle(s) de sécurité soit crypté (voir les pages de man de ton implémentation ipsec préférée, je dois pouvoir te passer quelque chose pour OpenBSD/isakmpd et FreeBSD/KAME).
Tu configure la/les autre(s) passerelle(s) de façon symétrique et le tour est joué.
Pour ce qui est du routage, tu peux soit monter les routes à la mimine ou alors utiliser un package de routage dynamique (j'ai un réseau de ce type qui utilise Quagga/ospfd sur OpenBSD pour gérer le backup rnis de liens gif/ipsec/xdsl)
Eric Masson
-- Je veux créer une troupe de danse érotique! Si vous ètes près à vivre des émotions fortes... si non, la vie continue et... Signature: Un Gros Garcon! -+- CL in GNU - Enlevez le «Gar» de ma signature pour me répondre -+-
"Vincent" == Vincent Bernat <vincent.bernat@raysa.org> writes:
'Lut,
Vincent> Tu peux dire en deux mots comment tu fais ? Disons que tu as
Vincent> initialement un lien IPsec en mode tunnel et je veux le
Vincent> transformer suivant ta solution, il faut faire quoi ?
Tu crées la/les routes vers l/les autre(s) extrémité(s) du/des tunnel(s)
route add peer_ext peer_mask my_ext_gw
Tu crées des tunnels gif entre les interfaces externes de tes
passerelles de sécurité :
Tu configures la couche ipsec de la passerelle pour que le traffic en
direction de/des autre(s) passerelle(s) de sécurité soit crypté (voir
les pages de man de ton implémentation ipsec préférée, je dois pouvoir
te passer quelque chose pour OpenBSD/isakmpd et FreeBSD/KAME).
Tu configure la/les autre(s) passerelle(s) de façon symétrique et le
tour est joué.
Pour ce qui est du routage, tu peux soit monter les routes à la mimine
ou alors utiliser un package de routage dynamique (j'ai un réseau de ce
type qui utilise Quagga/ospfd sur OpenBSD pour gérer le backup rnis de
liens gif/ipsec/xdsl)
Eric Masson
--
Je veux créer une troupe de danse érotique! Si vous ètes près à vivre
des émotions fortes... si non, la vie continue et...
Signature: Un Gros Garcon!
-+- CL in GNU - Enlevez le «Gar» de ma signature pour me répondre -+-
Vincent> Tu peux dire en deux mots comment tu fais ? Disons que tu as Vincent> initialement un lien IPsec en mode tunnel et je veux le Vincent> transformer suivant ta solution, il faut faire quoi ?
Tu crées la/les routes vers l/les autre(s) extrémité(s) du/des tunnel(s)
route add peer_ext peer_mask my_ext_gw
Tu crées des tunnels gif entre les interfaces externes de tes passerelles de sécurité :
Tu configures la couche ipsec de la passerelle pour que le traffic en direction de/des autre(s) passerelle(s) de sécurité soit crypté (voir les pages de man de ton implémentation ipsec préférée, je dois pouvoir te passer quelque chose pour OpenBSD/isakmpd et FreeBSD/KAME).
Tu configure la/les autre(s) passerelle(s) de façon symétrique et le tour est joué.
Pour ce qui est du routage, tu peux soit monter les routes à la mimine ou alors utiliser un package de routage dynamique (j'ai un réseau de ce type qui utilise Quagga/ospfd sur OpenBSD pour gérer le backup rnis de liens gif/ipsec/xdsl)
Eric Masson
-- Je veux créer une troupe de danse érotique! Si vous ètes près à vivre des émotions fortes... si non, la vie continue et... Signature: Un Gros Garcon! -+- CL in GNU - Enlevez le «Gar» de ma signature pour me répondre -+-
