А чё так медленно? В винде быстрее?

помоему в cisco pix на их селерах 600 чето около 90 или даже больше мегабит. у меня под опеном на 486 100MHz 1 мегабит.

2.4.x + FreeSWAN, P3-1200, 3DES, 45Mbit/sec и что эти товарищи доказали? Что их реализация конкретно лажает и они занимаются не своим делом! (или это 40Mbit/sec FullDuplex?)

Как была она кривая (что KAME, что isakmpd), так и осталась, к просто стабильной и безглючной работе ближе FreeSWAN-ветки. По тонкому тюнингу и отладке разница существенная между ними. Жалко в общем всё это, да еще само ядро 2.6 совсем окривело в последнее время...

"Conclusion

The new native IPsec implementation has a user-friendly interface to enable users to set up secure connections easily among different Linux systems..."

Молодцы, user-friendly корявый IPSec, я так рад за них :) Это то что нужно сейчас Linux, чтобы толпы леммингов стали пользовать IPSec... У FreeSWAN-щиков была мечта ... а эти ...

P.S. Не могу спокойно смотреть на радость по поводу встроенного IPSec в 2.6, потому что гробили много времени и сил, чтобы найти что то рабочее из IPSec под Linux/FreeBSD. KAME и isakmpd конкретно облажались и что то новое и путное на них не построить... FreeSWAN на полкорпуса впереди, если не больше.

>в cisco pix на их селерах 600 чето около 90 или даже больше мегабит Это скорее всего на гигабитных картах, линукс тестировали на сотках.

На маленьких мой результат: P-133/24Mb, 2.4.x, FreeSWAN 1.9x, 3DES+MD5, 4Mbit/sec. Точные версии не помню уже.

К FreeSWANу были претензии по поводу качества кода и вроде были какие-то проблемы с экспортом технологий шифрования.

Не уверен, у cisco используются Intel ASIC с загрузкой firmware при инициализации, в Linux intel-карты тоже впереди по производительности, по крайней мере 90Mbit чистого трафика на маленьких пакетах (50байт) сделают и не надо P4-2.2GHz. А тут про сетевухи неизвестно. Вообще было бы полезнее, если бы этот товарищ привел "vmstat -n 1" при тестировании. Хотя IPSec тут вроде в sys будет, так что нельзя будет разделить на что sys тратится - на сетевуху и пакеты или на шифрование, грустно.

Сетвухи очевидно сотки, иначе бы в тестах без шифрования результат был бы выше 90Mbit.

По качеству кода:
1. Код нормальный и понятный (писал свои патчи к нему, разобрался быстро). Претензии были у Linux Kernel девелоперов, потому что команда FreeSWAN сказала, что от них патчи включаться вот так сразу с нахрапу не будут, и правильно сделали.
2. Есть ошибка проектирования - в FreeSWAN изначально был заложен только 3DES и прикрутка остальных алгоритмов была гемороем (или замена 3DES на что то одно другое или конкретный патч на поддержку многих разных). Но собирать этот патч для (который ALG) было трудно, правда сейчас некоторые товарищи это стабилизировали (еще в канадском SuperFreeSWAN).
По поводу экспорта:
Ну собственно исходники выкладывались на многих зеркалах, легко можно забрать с Черноголовки chg.ru :) А вообще они как то выкладывали их то ли в Австралии, то ли еще на каком то острове :) из-за этих самых проблем. (Была даже история, что они telnet-ом удаленно их программили на серверах за границей, не знаю правда или нет :)

По-любому в 2 раза у IPSec overhead-a нет, иначе это был бы бредовый и никому не нужный протокол, кстати для решения этой проблемы есть сжатие в IPSec, регламентированное соответствующим RFC или draftRFC.

Fixme, но США ведь сняли ограничение по экспорту шифров?

Фиксаю. Ограничения они не сняли. Они запретили пользоваться DES. Либо 3DES, либо чем-то другим.

Откуда такая производительность??????????? У меня в сети сервер Linux 2.6 OpenSwan 2.2.0 2500 Barton 512RAM с любой виндой с SoftRemote скорость не выше 4Мб/сек при том что проц на винде загружен на 100% !!!
Алгоритим 3DES. Может кто-то посоветует нормального клиента под эту долбаную мастдайку?

Конфигурация сети - обычная локалка с выделенным инет-сервером, юзера поднимают IPSEC для инета, причем __ВАЖНО!!!!__ IP адрес не меняется (просто поднимается туннель к серверу). Соответственно между собой клиенты сети должны общаться по нешифрованному линку независимо от поднятого на сервер туннеля. В SoftRemote это как 2 пальца, но вот скорость...

Смени 3DES на что-нить другое. Тот-же AES или Blowfish значительно быстрее пашут. Проверяется кстати элементарно: $ openssl speed

Или в этом вашем линуховом SWAN только один алгоритм?

Мастдайный SoftRemote поддерживает только 3DES, а альтернативные ipsec клиенты (например thegreenbow VPN) не позволяют указать _диапазон_ адресов для passthrough (чтобы локальный трафик не шифровался). Вот если бы кто подкинул ссылочку где скачать SoftRemote более последней версии (я в инете нашел только 9.2.1.2).....

tinc

у меня под сабжем вот:
871688 б/с
на 10base-t при dd if=blin-1.3.iso|ssh Host "dd of=/dev/null"
загрузка прца на vpn шлюзе<1% при этом
tinc грузится на 0.1 (ps axuw), памяти отожрал 7 vss/1.6 rss мб
piv-2.4/533 с обеих сторон. было бы 100ка - продули бы и сотку (эксперименты были).
насчет гига-не уверен.
стоимость 1 компа - ~18000р. стоимость соотв. пикса предлагаю узнать самостоятельно. пусть целерон на пиксе пососёт...;)

Так все-таки, есть какой-нибудь способ авторизоваться с Checkpoint через username/password? Хоть с какими-нибудь ipsec?

Я не понял вопроса, если нужно аутентифицироваться, например, для входа в туннель IPSEC, который на Checkpoint VPN-1, то нужны соответствующие сертификаты и настройки IPSEC на клиенте. Если речь идет об аутентификации для прохода CheckPoint FW-1 как router-а, то смотри пакет fwsa-0.1.6 (это последний, который у меня валяется).

> У меня в сети сервер Linux 2.6 OpenSwan 2.2.0 2500 Barton 512RAM с любой
> виндой с SoftRemote скорость не выше 4Мб/сек при том что проц на винде загружен на 100% !!!

мегабиты с мегабайтами не путаете?

А встроенный клиент в Windows 2000/XP чем не устраивает, что это за SoftRemote такой? В 2000/XP есть же средства создания политики, в которой можно задать на какие адреса делать шифрование, или тебе надо именно по портам, а не адресам?

>например, для входа в туннель IPSEC, который на Checkpoint VPN-1, то нужны соответствующие сертификаты и настройки IPSEC на клиенте.

Эээ. В туннель, но не через сертификат, а через username/password. Как это ихний виндовый клиент делает.

Вроде checkpoint использует l2tp/ipsec, можно попробовать линуксовую реализацию l2tpd rp-l2tp.

Я так понимаю тебе нужно всё-таки посмотреть пакет fwsa пакет. Он точно по username/password работает в режиме демона, понятно что пакет только для Checkpoint, а не другого FW.

fwsa home page ;) http://os.mallek.de/

> А встроенный клиент в Windows 2000/XP чем не устраивает, что это за
> SoftRemote такой? В 2000/XP есть же средства создания политики, в
> которой можно задать на какие адреса делать шифрование, или тебе
> надо именно по портам, а не адресам?

SoftRemote это из списка совместимости openswan. Встроенный IPSEC во-первых не позволяет настроить себя так, чтобы локальный трафик не шифровался (по крайней мере этого нет в http://www.natecarlson.com/linux/ipsec-x509.php), а во вторых чтобы отключить/включить политику безопасности нужно делать довольно много телодвижений, ну и в третьих неплохо бы индикацию в трей засунуть о статусе туннеля.

сколько тут специалистов собирается ;) просто ваще
у одних какой-то писюк дает 90мбит/с 3дес, у других пикс дает аж 600(!!!) а еще одни предлагают блоуфиши использовать.

ребят ну не надо писать о том в чем вы ТОЧНО не уверены.

писк самый мощный дает up to 95 Mbps of 3DES VPN, посему 40 на линуксе это очень хорошо.

Я по ссылке http://www.natecarlson.com/linux/ipsec-x509.php слова такого softremote не нашел. Зато замечательно нашел ipsecpol.exe, ipseccmd.exe (и ipsec.exe с http://vpn.ebootis.de/package.zip), и пример файла конфигурации, когда локальные соединения не шифруются:

conn roadwarrior-net
left=%any
right=(ip_of_remote_system)
rightsubnet=(your_subnet)/(your_netmask)
rightca="C=US,S=State,L=City,O=ExampleCo,CN=CA,Email=host@example.com"
network=auto
auto=start
pfs=yes

То бишь ipsec поднимается сам, когда вы обращаетесь к your_subnet/your_netmask и только (перед этим нужно стартовать ipsec.exe, впоследствии - не обязательно, но тут есть нюансы). Для мониторинга в 2000/XP всегда есть ipsecmon.exe, кроме того можно запускать этот самый ipsec.exe /status в командной строке (или один из тех ipsecXXX.exe, параметр может быть другим - запамятовал я, но статус всегда можно проверить через иконку на раб. столе на одну из этих команд).

Ах да, включить-отключить ipsec.exe conn_name stop/start соответственно. Посмотрите опции и доки к этой утилитке, она простая до безобразия, при желании можно свой Delphi/Builder/QT exe-шник накидать, чтобы он все делал автоматом и в трее сидел :)

Господа зубры!

А кто может подсказать как запатчить FSWAN или ядро 2.6 чтобы обойти проблему, когда с одного NAT-шлюза может из под NAT зайти только 1 клиент?

Секьюрность IPSec неважна.... используется для L2TP доступа. Доступ в корпоративную сеть по L2TP с GPRS-шлюзов с NAT ( билайн, мегафон )

Как и чего пропатчить? Помощь готовы оплатить.

( используется встроенный в kernel-2.6 IPSEC ) , клон freeswan - openswan-2.1.1

ICQ 62325305, Aleksandr

А NAT-Traversal патч для FREESWAN не подходит ?

Раз уже через NAT работает у вас, то NAT-T вы поставили.
А аську вашу моя не признает - нет такой пишет, странно это...

а нафига оно в ядре? его в user-space уже вынесли давно. apt-cache show vpnc.

Прошу прощения, ICQ 6235305

Господа зубры! А кто может подсказать как запатчить FSWAN или ядро 2.6 чтобы обойти проблему, когда с одного NAT-шлюза может из под NAT зайти только 1 клиент?

Секьюрность IPSec неважна.... используется для L2TP доступа. Доступ в корпоративную сеть по L2TP с GPRS-шлюзов с NAT ( билайн, мегафон )

Как и чего пропатчить? Помощь готовы оплатить.

( используется встроенный в kernel-2.6 IPSEC ) , клон freeswan - openswan-2.1.1

ICQ 62325305, Aleksandr

Ещё раз уточняю суть проблемы - работает любое количество клиентов, но не более одного клиента с одного NAT-шлюза.

То есть не работает 2 клиента одновременно, подключающихся с одного IP адреса ( внешнего ). Выглядит это так

"L2TP"[71] 80.252.xx.xx:61487 #129: Virtual IP 80.252.128.66/32 is already used by '@nadejda' "L2TP"[71] 80.252.xx.xx:61487 #129: Your ID is '@maverick' "L2TP"[71] 80.252.xx.xx:61487 #129: Virtual IP 80.252.128.66/32 is already used by '@nadejda' "L2TP"[71] 80.252.xx.xx:61487 #129: Your ID is '@maverick'

Где - 80.252.xx.xx - адрес общего NAT-шлюза за которым расположены компьютеры с ID_FQDN @maverick ( тот что не может подключится ) и @nadejda ( уже подключенный )