J'ai une installation de road warriors qui fonctionnent assez bien
avec racoon, mais il reste des bugs assez obscurs. Il arrive parfois
de devoir relancer racoon sur le serveur, ce qui est assez gênant.
En regardant un peu sur les ML, je vois que racoon a eu mauvaise
réputation, mais c'est en 2002, j'espère que ça a évolué. Y'a-t-il une
raison de préférer isakmpd ?
--
/* Nobody will ever see this message :-) */
panic("Cannot initialize video hardware\n");
2.0.38 /usr/src/linux/arch/m68k/atari/atafb.c
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Djoume SALVETTI
J'ai une installation de road warriors qui fonctionnent assez bien avec racoon, mais il reste des bugs assez obscurs. Il arrive parfois de devoir relancer racoon sur le serveur, ce qui est assez gênant.
En regardant un peu sur les ML, je vois que racoon a eu mauvaise réputation, mais c'est en 2002, j'espère que ça a évolué. Y'a-t-il une raison de préférer isakmpd ?
J'aimerais également savoir s'il y a des raisons de préférer racoon ou isakmpd à openswan/KAME, openswan ayant à ma connaissane quelques fonctionnalités en plus (XAUTH, NAT Traversal) et m'apparaissant comme étant plus testé (du moins la partie venant de FreeS/WAN).
-- Djoumé SALVETTI
J'ai une installation de road warriors qui fonctionnent assez bien
avec racoon, mais il reste des bugs assez obscurs. Il arrive parfois
de devoir relancer racoon sur le serveur, ce qui est assez gênant.
En regardant un peu sur les ML, je vois que racoon a eu mauvaise
réputation, mais c'est en 2002, j'espère que ça a évolué. Y'a-t-il une
raison de préférer isakmpd ?
J'aimerais également savoir s'il y a des raisons de préférer
racoon ou isakmpd à openswan/KAME, openswan ayant à ma connaissane
quelques fonctionnalités en plus (XAUTH, NAT Traversal) et
m'apparaissant comme étant plus testé (du moins la partie venant de
FreeS/WAN).
J'ai une installation de road warriors qui fonctionnent assez bien avec racoon, mais il reste des bugs assez obscurs. Il arrive parfois de devoir relancer racoon sur le serveur, ce qui est assez gênant.
En regardant un peu sur les ML, je vois que racoon a eu mauvaise réputation, mais c'est en 2002, j'espère que ça a évolué. Y'a-t-il une raison de préférer isakmpd ?
J'aimerais également savoir s'il y a des raisons de préférer racoon ou isakmpd à openswan/KAME, openswan ayant à ma connaissane quelques fonctionnalités en plus (XAUTH, NAT Traversal) et m'apparaissant comme étant plus testé (du moins la partie venant de FreeS/WAN).
-- Djoumé SALVETTI
Eric Masson
"Vincent" == Vincent Bernat writes:
'Lut,
Vincent> En regardant un peu sur les ML, je vois que racoon a eu Vincent> mauvaise réputation, mais c'est en 2002, j'espère que ça a Vincent> évolué.
Ben euh, avis mitigé sur racoon, j'ai des sites sur lesquels il ne pose aucun problème et d'autres sur lesquels il est nécessaire de le tuer/recharger jusqu'à deux fois par jour (pas de scénario reproductible pour le geler, bien sûr)
Vincent> Y'a-t-il une raison de préférer isakmpd ?
Pas la syntaxe de son fichier de conf ;)
En termes de fonctionnalités, tu peux te faire une petite idée en regardant les pages de man : http://www.openbsd.org/cgi-bin/man.cgi?query=isakmpd&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html http://www.openbsd.org/cgi-bin/man.cgi?query=isakmpd.conf&sektion=5&arch=i386&apropos=0&manpath=OpenBSD+Current http://www.openbsd.org/cgi-bin/man.cgi?query=isakmpd.policy&sektion=5&arch=i386&apropos=0&manpath=OpenBSD+Current
En termes de fonctionnalités, isakmpd permet la génération de SP (setkey n'est pas nécessaire) des deux cotés d'un lien ipsec (Racoon ne le permet pas complètement)
La syntaxe de ses fichiers de conf permet un paramétrage plus fin que racoon.
Pour ma part, en OpenBSD-3.4, quelques soucis de reprise phase 2 lors d'un arrêt du lien ppp(8) sur lequel il tourne (il semble qu'il faille attendre la phase 1 suivante pour que le tout reparte correctement), mais je suis pour le moment entrain de debugger le tout.
Je n'ai pas encore joué avec isakmpd sur un autre os qu'Open, donc pour le moment pas de retour supplémentaire
Eric Masson
-- MA QUESTION EST LA SUIVANTE: quelqu'un aurait-il un login et mot de passe a me preter en attendant que j'obtienne les miens Lundi. -+- FM in GNU : avis aux cyber crédules -+-
"Vincent" == Vincent Bernat <vincent.bernat@raysa.org> writes:
'Lut,
Vincent> En regardant un peu sur les ML, je vois que racoon a eu
Vincent> mauvaise réputation, mais c'est en 2002, j'espère que ça a
Vincent> évolué.
Ben euh, avis mitigé sur racoon, j'ai des sites sur lesquels il ne pose
aucun problème et d'autres sur lesquels il est nécessaire de le
tuer/recharger jusqu'à deux fois par jour (pas de scénario reproductible
pour le geler, bien sûr)
Vincent> Y'a-t-il une raison de préférer isakmpd ?
Pas la syntaxe de son fichier de conf ;)
En termes de fonctionnalités, tu peux te faire une petite idée en
regardant les pages de man :
http://www.openbsd.org/cgi-bin/man.cgi?query=isakmpd&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html
http://www.openbsd.org/cgi-bin/man.cgi?query=isakmpd.conf&sektion=5&arch=i386&apropos=0&manpath=OpenBSD+Current
http://www.openbsd.org/cgi-bin/man.cgi?query=isakmpd.policy&sektion=5&arch=i386&apropos=0&manpath=OpenBSD+Current
En termes de fonctionnalités, isakmpd permet la génération de SP (setkey
n'est pas nécessaire) des deux cotés d'un lien ipsec (Racoon ne le
permet pas complètement)
La syntaxe de ses fichiers de conf permet un paramétrage plus fin que
racoon.
Pour ma part, en OpenBSD-3.4, quelques soucis de reprise phase 2 lors
d'un arrêt du lien ppp(8) sur lequel il tourne (il semble qu'il faille
attendre la phase 1 suivante pour que le tout reparte correctement),
mais je suis pour le moment entrain de debugger le tout.
Je n'ai pas encore joué avec isakmpd sur un autre os qu'Open, donc pour
le moment pas de retour supplémentaire
Eric Masson
--
MA QUESTION EST LA SUIVANTE:
quelqu'un aurait-il un login et mot de passe a me preter
en attendant que j'obtienne les miens Lundi.
-+- FM in GNU : avis aux cyber crédules -+-
Vincent> En regardant un peu sur les ML, je vois que racoon a eu Vincent> mauvaise réputation, mais c'est en 2002, j'espère que ça a Vincent> évolué.
Ben euh, avis mitigé sur racoon, j'ai des sites sur lesquels il ne pose aucun problème et d'autres sur lesquels il est nécessaire de le tuer/recharger jusqu'à deux fois par jour (pas de scénario reproductible pour le geler, bien sûr)
Vincent> Y'a-t-il une raison de préférer isakmpd ?
Pas la syntaxe de son fichier de conf ;)
En termes de fonctionnalités, tu peux te faire une petite idée en regardant les pages de man : http://www.openbsd.org/cgi-bin/man.cgi?query=isakmpd&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html http://www.openbsd.org/cgi-bin/man.cgi?query=isakmpd.conf&sektion=5&arch=i386&apropos=0&manpath=OpenBSD+Current http://www.openbsd.org/cgi-bin/man.cgi?query=isakmpd.policy&sektion=5&arch=i386&apropos=0&manpath=OpenBSD+Current
En termes de fonctionnalités, isakmpd permet la génération de SP (setkey n'est pas nécessaire) des deux cotés d'un lien ipsec (Racoon ne le permet pas complètement)
La syntaxe de ses fichiers de conf permet un paramétrage plus fin que racoon.
Pour ma part, en OpenBSD-3.4, quelques soucis de reprise phase 2 lors d'un arrêt du lien ppp(8) sur lequel il tourne (il semble qu'il faille attendre la phase 1 suivante pour que le tout reparte correctement), mais je suis pour le moment entrain de debugger le tout.
Je n'ai pas encore joué avec isakmpd sur un autre os qu'Open, donc pour le moment pas de retour supplémentaire
Eric Masson
-- MA QUESTION EST LA SUIVANTE: quelqu'un aurait-il un login et mot de passe a me preter en attendant que j'obtienne les miens Lundi. -+- FM in GNU : avis aux cyber crédules -+-
Vincent Bernat
OoO En cette nuit nuageuse du mardi 13 avril 2004, vers 01:23, Eric Masson disait:
Vincent> En regardant un peu sur les ML, je vois que racoon a eu Vincent> mauvaise réputation, mais c'est en 2002, j'espère que ça a Vincent> évolué.
Ben euh, avis mitigé sur racoon, j'ai des sites sur lesquels il ne pose aucun problème et d'autres sur lesquels il est nécessaire de le tuer/recharger jusqu'à deux fois par jour (pas de scénario reproductible pour le geler, bien sûr)
C'est surtout ce problème que je rencontre en fait. Particulièrement, il a l'air de bien négocier les deux phases, mais ne place pas vraiment les SA dans le noyau. Dans ce cas, faut relancer. Sans compter que cela entraîne la déconnexion de tout le monde en même temps.
Vincent> Y'a-t-il une raison de préférer isakmpd ?
Pas la syntaxe de son fichier de conf ;)
Oui, très rédhibitoire.
Bon, je vais m'y mettre, faut bien comparer :) -- I WILL NOT SCREAM FOR ICE CREAM I WILL NOT SCREAM FOR ICE CREAM I WILL NOT SCREAM FOR ICE CREAM -+- Bart Simpson on chalkboard in episode AABF03
OoO En cette nuit nuageuse du mardi 13 avril 2004, vers 01:23, Eric
Masson <emss@free.fr> disait:
Vincent> En regardant un peu sur les ML, je vois que racoon a eu
Vincent> mauvaise réputation, mais c'est en 2002, j'espère que ça a
Vincent> évolué.
Ben euh, avis mitigé sur racoon, j'ai des sites sur lesquels il ne pose
aucun problème et d'autres sur lesquels il est nécessaire de le
tuer/recharger jusqu'à deux fois par jour (pas de scénario reproductible
pour le geler, bien sûr)
C'est surtout ce problème que je rencontre en fait. Particulièrement,
il a l'air de bien négocier les deux phases, mais ne place pas
vraiment les SA dans le noyau. Dans ce cas, faut relancer. Sans
compter que cela entraîne la déconnexion de tout le monde en même
temps.
Vincent> Y'a-t-il une raison de préférer isakmpd ?
Pas la syntaxe de son fichier de conf ;)
Oui, très rédhibitoire.
Bon, je vais m'y mettre, faut bien comparer :)
--
I WILL NOT SCREAM FOR ICE CREAM
I WILL NOT SCREAM FOR ICE CREAM
I WILL NOT SCREAM FOR ICE CREAM
-+- Bart Simpson on chalkboard in episode AABF03
OoO En cette nuit nuageuse du mardi 13 avril 2004, vers 01:23, Eric Masson disait:
Vincent> En regardant un peu sur les ML, je vois que racoon a eu Vincent> mauvaise réputation, mais c'est en 2002, j'espère que ça a Vincent> évolué.
Ben euh, avis mitigé sur racoon, j'ai des sites sur lesquels il ne pose aucun problème et d'autres sur lesquels il est nécessaire de le tuer/recharger jusqu'à deux fois par jour (pas de scénario reproductible pour le geler, bien sûr)
C'est surtout ce problème que je rencontre en fait. Particulièrement, il a l'air de bien négocier les deux phases, mais ne place pas vraiment les SA dans le noyau. Dans ce cas, faut relancer. Sans compter que cela entraîne la déconnexion de tout le monde en même temps.
Vincent> Y'a-t-il une raison de préférer isakmpd ?
Pas la syntaxe de son fichier de conf ;)
Oui, très rédhibitoire.
Bon, je vais m'y mettre, faut bien comparer :) -- I WILL NOT SCREAM FOR ICE CREAM I WILL NOT SCREAM FOR ICE CREAM I WILL NOT SCREAM FOR ICE CREAM -+- Bart Simpson on chalkboard in episode AABF03
Vincent Bernat
OoO La nuit ayant déjà recouvert d'encre ce jour du lundi 12 avril 2004, vers 23:21, Djoume SALVETTI disait:
En regardant un peu sur les ML, je vois que racoon a eu mauvaise réputation, mais c'est en 2002, j'espère que ça a évolué. Y'a-t-il une raison de préférer isakmpd ?
J'aimerais également savoir s'il y a des raisons de préférer racoon ou isakmpd à openswan/KAME, openswan ayant à ma connaissane quelques fonctionnalités en plus (XAUTH, NAT Traversal) et m'apparaissant comme étant plus testé (du moins la partie venant de FreeS/WAN).
Les dernières versions de Racoon permettent le NAT-T. Pour le reste, je ne sais pas. Mes préférences vont aux outils les plus répandus sur le plus de plateformes possibles. Openswan se limite pour le moment à Linux. -- I DID NOT SEE ELVIS I DID NOT SEE ELVIS I DID NOT SEE ELVIS -+- Bart Simpson on chalkboard in episode 7G07
OoO La nuit ayant déjà recouvert d'encre ce jour du lundi 12 avril
2004, vers 23:21, Djoume SALVETTI <salvetti@crans.org> disait:
En regardant un peu sur les ML, je vois que racoon a eu mauvaise
réputation, mais c'est en 2002, j'espère que ça a évolué. Y'a-t-il une
raison de préférer isakmpd ?
J'aimerais également savoir s'il y a des raisons de préférer
racoon ou isakmpd à openswan/KAME, openswan ayant à ma connaissane
quelques fonctionnalités en plus (XAUTH, NAT Traversal) et
m'apparaissant comme étant plus testé (du moins la partie venant de
FreeS/WAN).
Les dernières versions de Racoon permettent le NAT-T. Pour le reste,
je ne sais pas. Mes préférences vont aux outils les plus répandus sur
le plus de plateformes possibles. Openswan se limite pour le moment à
Linux.
--
I DID NOT SEE ELVIS
I DID NOT SEE ELVIS
I DID NOT SEE ELVIS
-+- Bart Simpson on chalkboard in episode 7G07
OoO La nuit ayant déjà recouvert d'encre ce jour du lundi 12 avril 2004, vers 23:21, Djoume SALVETTI disait:
En regardant un peu sur les ML, je vois que racoon a eu mauvaise réputation, mais c'est en 2002, j'espère que ça a évolué. Y'a-t-il une raison de préférer isakmpd ?
J'aimerais également savoir s'il y a des raisons de préférer racoon ou isakmpd à openswan/KAME, openswan ayant à ma connaissane quelques fonctionnalités en plus (XAUTH, NAT Traversal) et m'apparaissant comme étant plus testé (du moins la partie venant de FreeS/WAN).
Les dernières versions de Racoon permettent le NAT-T. Pour le reste, je ne sais pas. Mes préférences vont aux outils les plus répandus sur le plus de plateformes possibles. Openswan se limite pour le moment à Linux. -- I DID NOT SEE ELVIS I DID NOT SEE ELVIS I DID NOT SEE ELVIS -+- Bart Simpson on chalkboard in episode 7G07
VANHULLEBUS Yvan
Vincent Bernat writes:
[IPSec, Racoon, Isakmpd, etc...]
Les dernières versions de Racoon permettent le NAT-T.
Euh... la version "officielle" (de chez Kame), non.
Il y a un patch Apple pour la version MacOSX, un patch de l'equipe IPSec-tools pour la version Linux, mais rien n'a ete reporte sur le CVS de chez Kame pour l'instant, essentiellement pour des raisons de droits potentiels de propriete intellectuelle sur une partie du draft de NAT-T.
Pour le reste, je ne sais pas.
Entre Racoon et Isakmpd, je dirais que chacun a ses avantages et ses inconvenients, malheureusement....
En pratique, Isakmpd a un fichier de conf mieux foutu (quoique assez lourd a faire a la main), il est capable de gerer la policy automatiquement (ce qui a des avantages en termes de simplicite, mais avec un petit programme pour generer la conf, ca se fait bien aussi), mais il lui manque (manquait, ca fait quelques temps que j'ai pas regarde de pres les evolutions du programme) certaines possibilites (au moins la gestion des entrees "unique" dans la policy), une partie des fonctionnalites ne sont utilisables que sous OpenBSD (de memoire, la montee des tunnels a la demande du kernel).
Ah, je vous ai parle du SubjectAltName pour les certificats X509 ? :-/
Maintenant, Racoon n'est pas parfait non plus pour autant...
Alors on attend racoon2 ! :-)
A +
VANHU.
Vincent Bernat <vincent.bernat@raysa.org> writes:
[IPSec, Racoon, Isakmpd, etc...]
Les dernières versions de Racoon permettent le NAT-T.
Euh... la version "officielle" (de chez Kame), non.
Il y a un patch Apple pour la version MacOSX, un patch de l'equipe
IPSec-tools pour la version Linux, mais rien n'a ete reporte sur le
CVS de chez Kame pour l'instant, essentiellement pour des raisons de
droits potentiels de propriete intellectuelle sur une partie du draft
de NAT-T.
Pour le reste,
je ne sais pas.
Entre Racoon et Isakmpd, je dirais que chacun a ses avantages et ses
inconvenients, malheureusement....
En pratique, Isakmpd a un fichier de conf mieux foutu (quoique assez
lourd a faire a la main), il est capable de gerer la policy
automatiquement (ce qui a des avantages en termes de simplicite, mais
avec un petit programme pour generer la conf, ca se fait bien aussi),
mais il lui manque (manquait, ca fait quelques temps que j'ai pas
regarde de pres les evolutions du programme) certaines possibilites
(au moins la gestion des entrees "unique" dans la policy), une partie
des fonctionnalites ne sont utilisables que sous OpenBSD (de memoire,
la montee des tunnels a la demande du kernel).
Ah, je vous ai parle du SubjectAltName pour les certificats X509 ? :-/
Maintenant, Racoon n'est pas parfait non plus pour autant...
Les dernières versions de Racoon permettent le NAT-T.
Euh... la version "officielle" (de chez Kame), non.
Il y a un patch Apple pour la version MacOSX, un patch de l'equipe IPSec-tools pour la version Linux, mais rien n'a ete reporte sur le CVS de chez Kame pour l'instant, essentiellement pour des raisons de droits potentiels de propriete intellectuelle sur une partie du draft de NAT-T.
Pour le reste, je ne sais pas.
Entre Racoon et Isakmpd, je dirais que chacun a ses avantages et ses inconvenients, malheureusement....
En pratique, Isakmpd a un fichier de conf mieux foutu (quoique assez lourd a faire a la main), il est capable de gerer la policy automatiquement (ce qui a des avantages en termes de simplicite, mais avec un petit programme pour generer la conf, ca se fait bien aussi), mais il lui manque (manquait, ca fait quelques temps que j'ai pas regarde de pres les evolutions du programme) certaines possibilites (au moins la gestion des entrees "unique" dans la policy), une partie des fonctionnalites ne sont utilisables que sous OpenBSD (de memoire, la montee des tunnels a la demande du kernel).
Ah, je vous ai parle du SubjectAltName pour les certificats X509 ? :-/
Maintenant, Racoon n'est pas parfait non plus pour autant...
