R: FreeSWAN con client Windows

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Dicembre 2002 ml@sikurezza.org
Soggetto: R: FreeSWAN con client Windows
Mittente: Gelpi Andrea - Liste
Data: 29 Dec 2002 21:16:18 -0000

Salve,
	seguendo le istruzioni di MS ho realizzato una configurazione
semi-automatica di IPSEC fra un PC Windows (roadWorrior) e Linux/freeswan.

Il problema che non ho ancora automatizzato (a dir la verità mi sono fermato
per un altro motivo) è il cambio del end-tunnel di ritorno, dato che
l'implementazione MS non permette di usare l'IP del PC pescandolo al volo.
Attualmente la cosa funziona così:

1) Configurato su Windows un tunnel di sola andata dal PC Windows verso la
rete protetta da un Linux con Freeswan (fin qui nessun problema).
2) Configurato un tunnel di solo ritorno con l'end-tunnel ad un IP
qualsiasi.
3) Dopo essersi collegato ad un ISP qualsiasi va cambiato l'IP del
end-tunnel ed attivato IPsec.

La cosa funziona perfettamente con Win200K Professional (lo uso
regolarmente), tuttavia per motivi che non ho ancora indagato non funziona
su Win/XP, nel senso che per un po' va dopo comincia a dare messaggi di
errore freeswan dicendo che riceve chiavi errate dal client.

Ho fatto una ricerca per automatizzare la cosa ed ho trovato che tutte le
informazioni di IPSEC sotto Win2K sono nel registry, quindi non dovrebbe
essere un problema fare uno script che si prende l'IP dopo la connessione al
provider, lo caccia in un apposito file .reg, lo esegue in modo da
modificare il registry e poi attiva da linea di comando IPSEC.

Purtroppo finché non risolvo il problema del blocco su Win/XP non mi serve.

SSHSentinel funziona decisamente meglio, ma non è ne Open Source, ne free.
Tuttavia sembra essere l'unica strada se c'è di mezzo un firewall (nat-t).

Una soluzione alternativa (ma non lo provata) potrebbe essere quella di
usare solo L2TP di Microsoft e il relativo demone per Linux, ma mi sembra
qualitativamente inferiore a IPSEC.

--
Gelpi ing. Andrea
--------------------------------
Landmines must be stopped. (CRI)
--------------------------------

> -----Messaggio originale-----
> Da: O-Zone [mailto:o-zone@zerozone.it]
> Inviato: venerdì 20 dicembre 2002 15.43
> A: ml@sikurezza.org
> Oggetto: Re: FreeSWAN con client Windows
>
>
> On Wednesday 18 December 2002 18:29, Luigi Mori wrote:
> > Ci sono documenti sull'interoperabilita' tra freeswan e IPSec nativo
> > di windows al sito:
> > http://www.freeswan.ca/docs
> >
> > Nota che l'implementazione IPSec di Micrsoft e' "parziale", solo
> > Transport Mode e niente NAT-T. Il tunnelling e' basato su l2tp.
>
> Ho person una settimana dietro l'implementazione IPSEC di Windows che si
> rifiutava di funzionare (secondo quando scritto nell'howto più
> volte citato
> su www.ebootis.de).
>
> > Preferisco SSH Sentinel.
>
> Anche io :-)
>
> Oz
>
> --
> A man paints with his brains and not with his hands.
>
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
>

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Re: FreeSWAN con client Windows, O-Zone

Data:
- precedente: Re: Firma digitale e non solo, Luca Bechelli
- successivo: RE: FreeSWAN con client Windows, Mimmus
- indice

Argomento:
- precedente: Re: FreeSWAN con client Windows, O-Zone
- successivo: RE: FreeSWAN con client Windows, Mimmus
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005