Articles précédents : Articles
- [7] Un nouveau site pour débutants à GNU/Linux
- [19] Article francophone sur l'utilisation de Subversion
- [2] Solutions 2004 : appréciez l'expérience PHP
- [49] Java libre : Sun sur la défensive
- [14] Les journées du libre 2004 d'Amiens - Conférences sur les logiciels
- [31] phpGroupware 0.9.16-001 est sorti !
- [15] Le projet "Game of the Month" est lancé
- [57] Super ordinateur en Espagne
- [20] Linux sur Gamecube: le terminal X
- [9] Article PresencePc : les journées FOSDEM
Liens connexes
- Le site FreeS/WAN (921 hits)
- L'annonce (526 hits)
- Wikipedia EN : IPSEC (600 hits)
Dépêche modérée par
FreeS/wan implémente IPSEC dans le noyau Linux, afin de créer un VPN (NdM : Virtual Private Network, Réseau Privé Virtuel) entre plusieurs machines, ou des réseaux complets.
La raison de cet arrêt semble être la différence entre l'offre et la demande : tout le monde voudrait une couche IPSEC "feature-rich" pour les entreprises, alors que le but du projet est la banalisation de "Opportunistic Encryption".
![[en]](../../../images/en.png)
Le site FreeS/WAN (921 hits)-
L'annonce (526 hits)
-
Wikipedia EN : IPSEC (600 hits)
> Lire la dépêche (11 commentaires, moyenne: 3,9).
Arrêt du projet FreeS/WAN : oui mais quelles alternatives?
Bon c'est bien dommage... Ca marchait bien!
Mais quelles sont donc les alternatives à FreeS/WAN?
Y'en a-t-il qui répondent à cette exigence de couche IPSEC "feature-rich" ?
Rassurez-moi, il existe bien une alternative libre aux solutions Cisco VPN Client, Check Point SecuRemote/SecureClient et consors???
-
[^]Re: Arrêt du projet FreeS/WAN : oui mais quelles alternatives?
Posté par Raphaël SurcouF (Jabber id, page perso, ) le 10/03/2004 à 06:13. (lien). Évalué à 4.On peut citer le projet japonais USAGI[1] bien qu'il soit largement plus orienté IPv6 que FreeS/WAN. D'ailleurs leur implémentation était à l'origine basée sur celle de FreeS/WAN (la version 1.9) mais depuis, c'est complètement différent[2].
Sinon, il existe aussi un patch provenant de kernel.org et intégré depuis les version 2.4.2x des noyaux debian au sein de ceux-ci (ce qui rend l'application du
patch freeswan inapplicable et pose même des problèmes avec grsec selon les versions).
Bref, pour faire des tunnels, on va devoir se tourner:
- soit vers les solutions basées sur des tunnels SSL, MPPE ou TUN (openvpn ou vtun),
- soit vers l'IPv6...
[1]: http://www.linux-ipv6.org/(...)
[2]: http://www2.linux-ipv6.org/viewcvs/*checkout*/usagi/doc/HOWTO/Attic(...)
--
Raphaël SurcouF
-
[^]Re: Arrêt du projet FreeS/WAN : oui mais quelles alternatives?
Posté par Blackknight (Jabber id, page perso, ) le 10/03/2004 à 08:03. (lien). Évalué à 4.Rassurez-moi, il existe bien une alternative libre aux solutions Cisco VPN Client, Check Point SecuRemote/SecureClient et consors???
Oui, FreeBSD en est une. Pour cela, voir :
http://www.onlamp.com/lpt/a/3043(...)
et
http://www.onlamp.com/lpt/a/3090(...)-
[^]Re: Arrêt du projet FreeS/WAN : oui mais quelles alternatives?
-
-
[^]Re: Arrêt du projet FreeS/WAN : oui mais quelles alternatives?
Posté par Foxy (page perso, ) le 10/03/2004 à 09:16. (lien). Évalué à 9.En fait, les raisons données par le projet FreesWan pour son arrêt ne sont pas toutes clairement explicitées.
Depuis longtemps, les mainteneurs du projet FreesWan refusaient sytématiquement les patchs et les nouvelles fonctionnalités proposés par des développeurs : NAT-Traversal, support des certificats X509, support des algos étendus (AES...).
Cela avait donné lieu à la création du "sur" projet Super Freeswan http://freeswan.ca/(...) qui était une release spécifique de Freeswan + patchs et améliorations.
Depuis quelques mois, il y a eu création d'une société autour de ce projet et création d'un fork officiel : Openswan http://www.openswan.org/(...)
Ce projet ayant pris l'acendant au niveau technique, ouverture et fonctionnalités sur le projet initial Freeswan, celui-ci se retrouvait isolé et voué à mourir.
Le futur pour IPSec sur Linux est donc Openswan.
Mais il est aussi tout à fait possible d'utiliser le support IPSec intégré au kernel 2.6 (le backport existe en 2.4 dans un patch spécifique) et un démon IKE BSD porté sur Linux (racoon et isakmp fonctionnent) : voir http://www.ipsec-howto.org/(...)
Re: Arrêt du projet FreeS/WAN
Il y a kame l'implemenation IPSEC provenant de FreeBSD qui est a present portee dans le noyau nunux 2.6
Dommage pour free/swan car en depit de certains bugs le produit est tres bon.
S'il y a des partant pour reprendre et maintenir le code je suis pret!
-
[^]Re: Arrêt du projet FreeS/WAN
Posté par VACHOR (page perso, ) le 10/03/2004 à 08:56. (lien). Évalué à 2.Le + important est bien sur qu'IPSEC soit dispo dans le nunux, sous forme FreeS/WAN ou autre. Si c'est à terme mieux intégré dans les noyaux c'est cool.
Par contre la page du projet kame n'a pas l'air de se vanter de la dispo pour Linux...
-
[^]Re: Arrêt du projet FreeS/WAN
Posté par Vanhu () le 10/03/2004 à 09:50. (lien). Évalué à 2.Si j'ai bien compris, la nouvelle pile IPSec du noyau Linux est "autre chose", qui a peut etre éventuellement récupéré une partie du code de KAME, mais qui n'est pas un "portage supplémentaire".
Par contre, comme cette pile utilise PFKeyV2 pour causer entre le noyau et le userland, ils peuvent utiliser n'importe quel demon isakmp qui utilise cette norme, et en pratique, ils utilisent Racoon (le demon Isakmp "officiel" de KAME).
-
[^]Re: Arrêt du projet FreeS/WAN
Posté par efuste () le 10/03/2004 à 14:06. (lien). Évalué à 5.Ouarf le troll !!!
La couche IPSEC de Linux (ipv4 et ipv6) est une réimplémentation 100% from scratch par David S Miller and Co.
Donc c'est maintenant natif sous Linux (pas la peine de se touner vers autre chose comme évoqué dans un autre message), et implémenté proprement (ca fait un paquet s'années qu'ils y réfléchissent et freeswan est un très bon retour dexpérience en ce qui concerne ce qu'il faut faire et pas faire).
Les rares intérêt de freeswan sont les suivant:
- plus vieux, plus éprouvé, mais ca doit changer par la force des choses.
- mieux "tuné" sur certains algo crypto.
- demon client userspace plus puissants/complet dans la version super freeswan : X509, etc...
L'intérêt de freeswan est donc minime, les quelques "optimisation" coté crypto doivent être reporté sur la crypto API et n'ont rien a voir avec IPSEC.
Et en ce qui concerne la partie userspace, on a le choix aujourd'hui entre les outils Kame, les outils BSD ou .... les outils Freeswan au travers de Openswan (le fork de freeswan + super freeswan) qui pour les kernel 2.6 utilise la couche kernel native:
For Kernel's 2.6.0 and higher, Openswan uses the built in IPsec support. Only the userland component of Openswan is required to use Openswan with a 2.6 series kernel.
Le support de la couche native des kernel 2.6 par Openswan n'est pas encore complète/parfaite, mais c'est plus que sur la bonne voie.
Donc pour résumer, Freeswan est mort, vive Freeswan !!!
FreeS/WAN ne concerne que le 2.4
Rappelons que FreeS/Wan ne concerne que linux 2.2 et 2.4.
Le noyau 2.6 supporte nativement IPv6 et les outils de conf en mode utilisateur sont dispo en 2 versions
Les utilitaires KAME à http://ipsec-tools.sourceforge.net/(...)
Les utilitaires BSD à http://bender.thinknerd.de/~thomas/IPsec/isakmpd-linux.html(...)
Voir http://www.ipsec-howto.org/(...) pour plus d'infos.
Donc il n'y a pas à trop s'alarmer non plus. Linux supporte bien IPSec que ce soit en IPv4 ou en IPv6.
-
[^]Re: FreeS/WAN ne concerne que le 2.4
Posté par Vincent Haverlant (page perso, ) le 15/03/2004 à 07:39. (lien). Évalué à 1.On peut même esperer que ces implémentations permettent de monter des tunels en utilisant le DES simple qui peut être parfois utile pour des raisons d'interopérabilité avec d'autres types d'équipements, ce que FreeS/WAN refusait pour des considérations de sécurité.
Cette page a été générée par Templeet en 0.1058s (dont 0.0444 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.