也许是网络的虚，让许多人说起话来总是不顾别人一点的颜面，有时吃不到葡萄就说是算的，看的多了，自己也就时时提防，再说被别人说总不会高兴，其实如果大家都没有恶意，不必吵吵的。
大家在这里探讨下技术而已，也许将来有疑问还要请教的，相信谁都不想红着脸说话，呵呵。

[quote][quote][quote][quote]我有，你出多少？2k的

移植的FREESWAN，做的客户端，和FREESWAN通信没有问题（自动密钥） [/quote]

  是WINDOWS平台吗？所有的模块你都做了：管理界面，IKE，IPSEC？？ [/quote]

不好意思，周末没有上来，管理界面，IKE，IPSEC 都做了！ [/quote]

   佩服! 不过,仅仅是客户端,怎么实现策略的配置呢?有CONSOLE端吗?IKE的实现也基于网关的吗?

[quote][quote][quote][quote]我有，你出多少？2k的

先谈谈你的VPN的使用情况,若不方便: lj-xd@sohu.com [/quote]

移植的FREESWAN，做的客户端，和FREESWAN通信没有问题（自动密钥） [/quote]



没听说过freeswan有自动密钥这么一说。

ike通过dh算法进行密钥协商。

freeswan通过preshared-key和rsa key进行密钥协商时的签名认证

打了补丁的freeswan支持x509证书的认证。


既然谈到ipsec，虽然我目前已经不对此太感兴趣了――为mm做核心
木马做得我每天都在想木马的事情;)，但是还是保持跟踪着发展方
向。顺便就多说两句。

freeswan的pluto支持的许多地方不尽如人意，例如nat穿越
就是一个大问题，所有的补丁都不完全解决问题，一个问题
是无法解决nat内部server，另一个问题是无法解决负载均衡
的nat的问题。为了解决这些垃圾问题，pluto代码我真是差点
改到吐血――而为了支持双nat对穿，没有manager又不行，这
有没有标准，我又不希望失去基本的兼容性。我不知道是否有
人和我一样郁闷过，对于负载均衡的nat，要处理那种floating
port(4500)的情况很有点费劲。我又要发牢骚了，如果不是因为
所谓的ike-friend nat的出现，也不至于说需要有一个floating
port

前面说的是1.9x版本。

下面说说新出来的2.0版本。
2.0版本极大的强化了dnssec的支持，但是同时在我看来――
有点偏离主题了，因为目前为止支持dnssec的只有freeswan。
而通过dnssec还只是一个draft，目前我看不到变成rfc 的希望。
令人失望的是，freeswan从来不考虑真正的需要，例如一个
能够工作的policy manage server，更好地解决nat的问题。
还有一个问题很基本，就是全动态ip的问题――没有manager
是不可能的。

关于nat-t，draft都到0.5了，我认为成为rfc的可能性比较
大了。特别是注意到这个draft是ms和cisco联手推出的。
netscreen支持的只是0.1――到去年11月为止――那时候
最新的是0.3。这反应出大公司的反应能力比较慢，同时证明
这一点的是，chkpoint那时候还不支持全动态ip的策略，即
便有manager的情况下。同样，那时候chkpoint也对nat支持
得不太好。我认为这应该是国内有自主开发实力――而不是
只能在freeswan上做个界面的那种的厂商的机会。

考虑到国内nat部署如此普及，这个问题解决不好，我认为
是影响vpn部署的一个重大因素。而幸运的是，国外并没有
这么多的nat，那里ip并不缺乏，所以他们并不特别重视这个
问题。这是一个重大的突破点。

可惜得是，国内大多数厂商都只能基于freeswan改来改去。
自己连读懂freeswan的能力都不具备，更不用说修改，移植
了。


关于policy manger，各种复杂不复杂的draft不少了，但是
我认为不会有一个成为标准。

两方面的考虑：一方面是目前
作为vpn巨鄂的chkpoint,netscreen都推出了自己的manager，
虽然似乎在国内用得很少――同时更让我觉得有趣的是，国内
部署vpn，几乎都用preshared key认证dh，即便他们买的是
netscreen/chkpoint。这些东西都是undocument。我去年11月
的安全展会上要求netscreen公开他们的manager协议。那些
老外觉得不可思议，认为要求过分。就是说，这帮人并没有
意识到这是重要的。而且他们似乎并不认为不同厂商的产品
互联是重要的。

另一方面，我认为ipsec本身的许多问题让他们不会急于制定
这样的标准。现在还有ipsec 的mib库没有制定标准，还有
nat-t的问题，等等等等。

此外，关于x509，我认为倒不是目前最重要的问题，我认为
国内要真的部署pki，还有一段路要走。而且对于大多数企业
来说，即便是大企业，pki也是一种消费不起的奢侈。

最后，但是并非不重要，我想谈论一个问题是vpn和firewall
配合的问题。让我吐血的是，居然有很多厂商都不重视。
netsrceen和chkpoint不重视也就罢了，因为他们的fw和vpn
都是一体的，而且也许他们够牛，能够让他们的用户撤掉
以前买的fw。

目前ieee小组似乎有追求完美的倾向，不过考虑到以前的
那些垃圾协议给大家造成了多少伤害我就认为慎重一点的确
是必要的，那些垃圾协议包括ftp，nat等等等等，不一而足。
想必任何一个实现过nat的兄弟都对ftp的支持感到过郁闷吧？
这种协议还多的是。ftp不过是最有名的一种而已。nat没有
具体的标准，结果实现只取决于创意，我知道的nat实现
就有n多种，如果结合具体的os上的实现，更是五花八门，
sygate和wingate的nat实现就截然不同。至于syagate和
linux2.2地实现也不同，linux2.2和2.4的又不同。我常常
除了需要分析这种nat到底是何种转换格式之外，还要分析
这个nat到底实现在核心哪个部分。

=========================================================

以上是我近些年对vpn技术和市场的跟踪，实现和观察，以及
思考。

就我个人而言，我最关心的问题是连通性――不管什么nat
都能连通；其次是兼容性――要能够和不同厂商的产品互联，
当然，那些基于manager的功能不可能指望，但是至少在
没有nat，双静态ip的情况下应该能够完美的互联起来――其实
我觉得1静态+1动态应该也能互联。甚至1静态+1动态nat应该
也能够互联，或者说至少应该跟大部分国外真正实现ike的
厂商的产品互联。

国内玩假的ipsec得太多了，我举出一个例子来吧：天融信
作为一个这么大的安全公司，居然玩假的ipsec，让我失望ing。

有些玩真的却只是简单的freeswan，还是让我失望ing。



哼哼，倚天不出，谁与争锋！！！

 [/quote]

看了上面的文字，对斑竹在这方面的理解程度表示敬意，我接触的时间不算很长，但也不短，但是觉得斑竹考虑的东西比我多了许多。

想不到，当初看到这个题目进来的一句戏言引起有人说我拿公司的东西在这里怎么怎么，心里有点气，现在都弄成这样，不是本意，不是本意！

有几点需要说明，使用VPN可以有2中方法产生SA，一是用户手工指定（我称为手工密钥），一是用IKE在用是生成（我称为自动密钥），我的“自动密钥”，指的就是这个意思。

freeswan无法解决nat内部server？
我在网关内架了FTP，HTTP，通过VPN拨号客户端都可以啊！我的是1。97版,关键是网关上防火墙配置！

部署pki确实是目前不切实际的，或者说，没有多少企业部署了。虽然说PRESHARE KEY不安全，但是我想了办法，让它不被用户看到，这样只有一个人（管理员）是知道PRESHARE KEY的，算安全吧。对于斑竹对这方面的看法我真是很佩服。

至于双动态IP，好象实现的也确实少（我没有见过），没有SERVER怎么做？但是支持动态客户端FREESWAN还是没有问题的。它的配置就可以看出来能支持动态IP啊。

天融信据说用了19个人，花了2年时间做的VPN，该不会是假的吧？我没有调查过，不好发言。呵呵，不过到确实有许多不切实际的，我所看到的VPN客户端都说支持数字证书，可是有几个人用？

我接触的IPSEC东西也不多，就FREESWAN 和 BSD 下的RACOON，不过我觉得好象FREESWAN 还是不错的，有许多的技术内容，而且实现都比较稳定，也能和RACOON互通，虽然算法只用3DES，呵呵。

向斑竹致敬！
题外话：其实，到现在没有技术能难住我，可是我还是强烈感到，做技术真是让人悲啊！ [/quote]

令人遗憾，我特意新开了一个帖子的主题，但是大家还是在这里面
re。

这里来往的几个也许都对ipsec vpn感到关注，也许还能深入的谈谈

老mo把这个话题转过去吧，或者做个链接什么的。就是关于ipsec
vpn的讨论。

下面是re上面那哥们的贴：

你刚才所说nat内部的ipsec server需要配置firewall，那意味着
需要配置这个nat server，想必你打算做dnat？不管是static ip
map，还是static port map，总是需要配置。有些时候这不可能。
1、这个fw（nat server）不是你能控制的，是isp的
2、提供这个map就相当于fw被废掉了。通常都是把fw放到vpn内部。
而不会放在外部。

freeswan当然支持单动态ip，也支持大多数单动态nat后的ip，但是
不支持负载均衡的nat后的动态ip。

关于天融信的发言，你可以问问他们是否可以和ssh互联，或者和
netscreen以及win2k互联，如果这3者都无法互联，那无疑就是...
（至少它们的win client是这样）

[quote]
兄弟怎么只想着买钱， 起码有以下几个途径合作。

1。产品OEM给对方，对方作市场，
2。给对方提供成熟的stack,给对方的产品加上相应得功能模块
3。合作作一个公司不都是很好吗。

目前国内的公司，什么都想自己从头作起，不会好好利用已经
有的技术资源。要知道这全套东西从头作，怎么着都是10人左右，
两年以上的开发量。还必须都是高手才行。
结果弄的产品错误和bug百出就上了市场。产品易用性就更不
提了。还有大部分都从freeswan改改，可是freeswan本来
就是先天不足，不是以终端产品为目标的。






 

你说的实际上正是我想说的，
实际上，想ipsec vpn这样复杂的东西，就我的理解，要源码是没有什么大意义的。
你说的两年*10高手的开发量，我以为真是说少了。
 [/quote]

看来你需要找本人月神话来看看:)

还在迷信蠢驴编程？

附带说上一句：
    似乎有些人对我的贴子中的口气让某些人感觉不太舒服，
对于此我不表示歉意。

    不过我更希望的是，给我的mail不要仅仅是来点这样的
东西，毫无意思。我希望的是能够就我关于ipsec vpn的具体
分析进行讨论，不管是攻击还是赞成我都举双手欢迎。不过
请详细讨论。我在帖子中对一些细节的讨论并不完整，因为
如果要更详细的讨论需要涉及很多细节。我也希望能够有个
话题展开讨论。

    来点技术干货，不管你是什么政治观点，什么宗教，爱
不爱国，是不是同性恋，粗不粗俗，都无关紧要

附带说上一句：
    似乎有些人对我的贴子中的口气让某些人感觉不太舒服，
对于此我不表示歉意。

    不过我更希望的是，给我的mail不要仅仅是来点这样的
东西，毫无意思。我希望的是能够就我关于ipsec vpn的具体
分析进行讨论，不管是攻击还是赞成我都举双手欢迎。不过
请详细讨论。我在帖子中对一些细节的讨论并不完整，因为
如果要更详细的讨论需要涉及很多细节。我也希望能够有个
话题展开讨论。

    来点技术干货，不管你是什么政治观点，什么宗教，爱
不爱国，是不是同性恋，粗不粗俗，都无关紧要
 

作为一个人，有比技术更重要的东西，就是宽阔的胸怀！！

用开源的东西做出的东西，也得开源啊，没什么密密。中国人可悲啊。找个开源的软件改改就成了自已的核心技术了。还源码保密去死吧。

用开源的东西做出的东西，也得开源啊，没什么密密。中国人可悲啊。找个开源的软件改改就成了自已的核心技术了。还源码保密去死吧。

任何公司，个人付出了劳动都希望得到相应报偿。
我想这应该是常识。

你如果对开源的东西有体会，欢迎你也贴出来。相信会有人参加讨论的，如果你真有体会的话。

没有读懂开放源码的东西之前，我觉得应该是没有资格参加开放源码问题的讨论的。

来两句气话，不会提高自己的水平，我想这应该是事实。