On Sat, 15 Oct 2016 17:23:35 +0200 Paul van der Vlis <p...@vandervlis.nl> wrote:
> Voor VPN's gebruik ik tegenwoordig OpenVPN, maar nu is er iemand die > graag IPsec wil. De VPN zou moeten lopen tussen een Debian server en > een "Watchguard Firewall XTM 330". Komt daar veel bij kijken? IPSEC is een academisch protocol dat in theorie altijd werkt maar in de paaktijk is er altijd gezeik als het tussen twee verschillende vendors moet werken. Het hoort samen met pptp, l2tp en ftp op de digitale schroothoop te staan IMHO. Een andere ramp vind ik dat IPSEC geen eigen tunnel device heeft en je allerlei truken moet uithalen om ervoor te zorgen dat verkeer in de tunnel niet genat wordt. Bovendien komt het opzetten van zo'n tunnel vaak neer op trial and error omdat de RFC's door de verschillende vendors anders worden geinterpreteerd > Ik begrijp dat die firewall ook OpenVPN kan, al noemen ze het daar > SSL. Dus ik denk dat ik dat probeer door te drukken. Maar ik zou wel > graag van iemand willen horen of zo'n IPsec verbinding lastig is. Ik zo sowieso gaan voor de OpenVPN oplossing. Simpel en effectief. En retestabiel. > Hoe goed is dat IPsec eigenlijk gestandaardiseerd tegenwoordig? Het is een naar ipv4 geporteerd protocol dat voor ipv6 is ontworpen (vandaar native geen NAT). Om het te natten wordt de troep in een udp stream gezet. Hoe idioot kun je het maken. > Het pakket "strongswan" gebruiken in Debian? > Je hebt geloof ik ook nog "libreswan" en "openswan". > "freeswan" heb ik vroeger wel gebruikt, in Linux 2.4. Strongswan werkt op zich het simpelst. En praat ook goed met de Azure cloud. Verder moet ik het op sommige plekken wel draaien, maar ik zet het altijd op een aparte machine die dat afhandelt. Dat is wel zo duidelijk voor de routering en dergelijke (die zie je namelijk niet in je routetabellen, ook zo'n fijne feature van IPSEC) > L2TP is toch ook een soort IPsec? Als je layer2 wilt tunnelen pak dan OpenVPN met tap devices. Het is een gedrocht dat je ook nog eens met ipsec moet beveiligen. Houd de dingen simpel zou ik zeggen. Ik zou eerder bij die klant een los OpenVPN doosje neerzetten die je aan hun firewall hangt in een DMZ. Vervuil je eigen systeem niet met IPSEC zou ik zeggen. En vaak heeft "de IPSEC overkant" alleen maar een GUI met 3 opties en dan moet jij je er maar aan gaan aanpassen. "Ik wens je veel personeel" zeiden de Joden vroeger als ze een hekel aan alkaar hadden. Ik weet nog een versie met IPSEC :) R. -- richard lucassen http://contact.xaq.nl/
