Vlákno názorů k článku Tuneluji, tuneluješ, tunelujeme: IPSec od Martin Kočtář - Předně bych chtěl pochválit kvalitu všech tří dílů...

Předně bych chtěl pochválit kvalitu všech tří dílů o tunelování. V praxi je často takovýto návod k nezaplacení.
Zajímalo by mne, do jaké míry jsou použitelná řešení v praxi, kdy konce tunelu nejsou provozovány na stejné platformě. Zajimá mne kombinace Microsoft a linux, Cisco a linux.

IPSec spojení mezi Linuxem a WinXP jsem testoval, návody jsou na stránkách FreeS/WANu (i když pozor, jsou tam trošku nepřesně popsána generování certifikátů, musel jsem si to dogooglovat, nakonec jsem to nastavoval podle nějakých stránek v němčině - mám je stažené, kdyžtak můžu zaslat), pouze je nutno ověřovat připojení přes klientske certifikáty. Problém nastane v okamžiku, kdy potřebujete na protunelovaná data nasadit firewall nebo NAT, protože všechny mnou testované programy pro Windows (samozřejmě včetně těch, co jsou přímo v systému), které jsem zkoušel, filtrují a překládají pouze to, co najdou na síťovém rozhraní. To, co vyleze z tunelu, už ignorují. Takže třeba v mém případě byly Windows nepoužitelné, protože jsem IPSecem tuneloval pouze přes wifi spojení, přes které jsem napíchnutý do Internetu. :-( Ale při propojení třeba dvou poboček nebo pro napíchnutí do firemní sítě zvenku by mělo spojení Linux <-> Windows fungovat celkem spolehlivě.

Spojenie Cisco a Linux (ale aj Cisco a Checkpoint) je problematicke koli implementacii. Cisco si nie vzdy dobre rozumie s VPN peer pokial sa pouzije Diffie-Helmans (takto sa to pise? ;) Group 2 a Freeswan pouziva Group 2, podobne ako vacsina inych rieseni.

Přesně toho jsem se obával, že Cisco - Linux nebo
Win XP - Linux nebudou mit uplne stejnou implementaci IPsec. Je to skoda, protoze v praxi jsou obvykle potreba prave tyto ruznorode pripady.

Moment, komunikace Windows <-> Linux jde nastavit tak, aby šlapala bez problémů. Jediný problém je v tom, že windowsový konec tunelu se vynořuje až za případným firewallem nebo NAT, takže se tyto technologie nedají ve spojení s IPSec pod Windows použít (pokud někdo ví, jak by to přece jen šlo, nechť se ozve, zajímá mě to). Čili pokud nepotřebujete překládat adresy nebo filtrovat pakety (což u většiny sítí potřeba není, pokud propojujete pobočky, obvykle si vystačíte s normálním routováním), je možné to dostupnými prostředky zajistit.
Jak je to s Ciscem nevím...