Comments 11
Хотелось бы, чтобы это сравнение включало еще strongSwan. Как то мало ему уделяют внимания.
Сам я с IPSec знаком плохо, потому никак не могу уяснить принципиальных различий между racoon / openSwan / strongSwan.
Сам я с IPSec знаком плохо, потому никак не могу уяснить принципиальных различий между racoon / openSwan / strongSwan.
Это не совсем сравнение, так как статья не претендует на объективность, скорее это мой способ решения поставленной задачи. Я тоже недостаточно хорошо разбираюсь во всех нюансах IPSec и его реализаций, могу только поделиться эмпирическим опытом: вот так плохо работает (у меня), а вот так — хорошо.
Что касается принципиальных различий, то openSWAN и strongSWAN — это форки одного проекта — FreeS/WAN, а Racoon — это часть ipsec-tools — порта KAME's IPSec tools с, если не ошибаюсь, FreeBSD на linux. То есть принципиальной разницы между openSWAN и strongSWAN по сравнению с racoon(ipsec-tools)нет.
Когда начали возникать описанные в статье проблемы с racoon, мне показалось, что у openSWAN больше комьюнити, плюс в баг-трекере ipsec-tools до сих пор есть незакрытые баги с segmentation fault, и поэтому я решил попробовать OpenSWAN. В результате мне показалось и надежней в работе, и удобней в настройке.
Что касается принципиальных различий, то openSWAN и strongSWAN — это форки одного проекта — FreeS/WAN, а Racoon — это часть ipsec-tools — порта KAME's IPSec tools с, если не ошибаюсь, FreeBSD на linux. То есть принципиальной разницы между openSWAN и strongSWAN по сравнению с racoon(ipsec-tools)нет.
Когда начали возникать описанные в статье проблемы с racoon, мне показалось, что у openSWAN больше комьюнити, плюс в баг-трекере ipsec-tools до сих пор есть незакрытые баги с segmentation fault, и поэтому я решил попробовать OpenSWAN. В результате мне показалось и надежней в работе, и удобней в настройке.
(интересно, какого пола это приложение? может, женского, тогда это многое объясняет) уже третью неделю стабильно и без конфликтов и скандалов
я думаю совсем наоборот :)
Подскажите, возможно ли раздавать маршруты (option 249, 121) для split-tunnel или подключить внешний dhcp-сервер через OpenSWAN или Racoon?
Если я правильно понял вопрос, здесь не важно Racoon или Open/StrongSWAN, за выделение адресов L2TP клиентов отвечает ppp. «Из коробки» протокол point-to-point этого не позволяет, но люди говорят, что можно. Я экспериментально пока не подтвердил, но чисто теоретически требуется установить ppp-dhcp plugin для ppp, и будет вам счастье.
Я на досуге обязательно попробую и отпишусь о результатах.
Я на досуге обязательно попробую и отпишусь о результатах.
Благодарю за наводку, с удовольствием почитаю о результатах исследования.
Я нечаянно столкнулся с этой проблемой, и решил проапдейтить свой пост:
Задача: нужно оставить выход в интернет по маршруту по умолчанию, но при этом видеть все хосты подсети VPN.
Логика: ppp по своей сути выдает маску 255.255.255.255 и изменить эту логику нельзя. Значит, надо писать маршруты на клиенте.
Как задавать спецмаршруты, я еще не исследовал, но как оказалось, если добавить в ppp/options параметры defaultroute и proxyarp, то все хосты заданные в local будут видны для подключившегося клиента.
Конфигурацию поправил.
Задача: нужно оставить выход в интернет по маршруту по умолчанию, но при этом видеть все хосты подсети VPN.
Логика: ppp по своей сути выдает маску 255.255.255.255 и изменить эту логику нельзя. Значит, надо писать маршруты на клиенте.
Как задавать спецмаршруты, я еще не исследовал, но как оказалось, если добавить в ppp/options параметры defaultroute и proxyarp, то все хосты заданные в local будут видны для подключившегося клиента.
Конфигурацию поправил.
Натолкнулся, когда уже почти подружил циску и openswan. настроечки aes256-sha1-dh1024, aes256-sha1-dh1536(внезапно) и всё это останавливается в самом неожиданном месте :(
Нечаянно наткнулся на статью thejimmahknows.com/site-to-site-ipsec-vpn-using-openswan-and-cisco-asa-9-13, тут прямо все красиво расписано, в том числе со стороны циски, может быть вам поможет. Или уже получилось? Если да, то поделитесь опытом :)
Sign up to leave a comment.
Racoon vs. OpenSWAN: Настройка IPSEC VPN туннеля HOST-TO-SITE с Cisco и L2TP over IPSEC для Windows, iOS и Android