Thursday, September 21, 2006

openswan 2.4.6 ESP_NULL support

De viaje por BAires durante esta semana, dió la "coincidencia" que don Dax y Roldyx estaban necesitando una mano quirúrgica para hacer andar ESP_NULL sobre openswan-2.4.6, el resultado es este parche que estoy mandando a openswan-dev@ con prácticamente cero probabilidad de ser aceptado por la nulidad del cifrado, jeh... :-P.

Interesante el escenario del problema: tratar de minimizar al máximo el consumo ancho de banda para VoIP porque tienen contratado un "CIR" muy ajustado, y la diferencia de tamaño de paquete para los ALGOs AES, 3DES es del orden de ~12bytes (debido al IV del CBC y al padding promedio ) sobre un tamaño típico de 100bytes.

El resultado de usar ESP_NULL de esta manera es efectivamente usar ESP meramente para autenticación... pero entonces:
Porqué no usar AH?
* porque no está bien documentado en openswan cómo usar AH solamente
* porque no soporta NAT-Traversal (siendo ésto último _tajante_).

El parche contiene un one-line-fix para permitir usar pluto con ESP_NULL sobre kernel-2.6 y el módulo (no)criptográfico de null-cipher para KLIPS (kernel-2.4).

Ahora ... lo más cool de todo: pasar una siesta geek entre amigos, como si estuviera @home :-D

4 comments:

JuanJo said...

Posteado a dev@openswan.org :)
http://lists.openswan.org/pipermail/dev/2006-September/001433.html

tvargas1322 said...

HOla.
PRimeroq ue todo soy novato trabajando enn linux
EStoy tratando de montar una vpn hos-to-host, utiliazando l2tpd o
ipesec-l2tpd.
VErsiones:
S.o centos 4.5
openswan-2.4.4-1.FC3.1.i386.rpm

He leido una cantidad de doc en internet, y los he seguido al pie de la letra, trato de conectarme por ipsec en modo transporte, y segun los logs me levanta el servicio ok, pero por ningun lado veo que me crea la interfaz virtual ipsec0.
Si tienes idea de que puede estar pasando te agradeceria la ayuda.
tvargas1322@hotmail.com

JuanJo said...

Hola tvargas,

OpenSWAN sobre kernels 2.6 no crea nuevas interfaces de red (tal como ipsec0) porque utiliza el soporte nativo de Linux-2.6 para ipsec, es decir: de openswan solamente estás usando la inicialización y los servicios del daemon pluto.

Es decir: la falta de ipsec0 NO significa que no esté levantado, testealo con cosas como:
ipsec auto --status

--JuanJo

_JaR_ said...

JJO: buenos dias estoy levantando una VPN con openswan basicamente la VPN esta funcionando se establecen las dos fases de conexion y trafico paquetes de mi red interna hasta la red interna en el otro extremo el problema es que tengo que natear mi red interna ya que en el otro extremo solo me habilitan permisos para una ip de mi red interna he estado buscando info pero no consigo hacer que esto funcione.