Zunächst mal scheint hier in allen Kommentaren, die ich hier gesehen habe, ein Missverständnis vorzuliegen: die neue IPSec-Implementierung, die in Linux 2.6 und als Patches zu Linux 2.4 erhältlich ist, ist kein Ersatz für FreeS/WAN. Genauer gesagt, die neue Kernel-Implementierung ist lediglich ein Ersatz für die alte Kernel-Implementierung, nämlich das KLIPS-Modul (Kernel Level IPSec) aus dem FreeS/WAN-Projekt. Userspace-Tools für die Konfiguration und den Schlüsselaustausch benötigt man natürlich trotzdem noch. Und genau hier zeigt sich ein großer Vorteil des neuen Linux-IPSec gegenüber FreeS/WAN: KLIPS (das Kernel-Modul aus dem FreeS/WAN-Projekt) arbeitet nur mit Pluto (dem Key-Management-Daemon aus dem FreeS/WAN-Projekt) zusammen und bis vor kurzem war das auch anders herum so. Das neue Linux-IPSec dagegen ist in diesem Bereich neutral und arbeitet mit allen drei weit verbreiteten Userspace-Tools zusammen: Racoon aus dem KAME-Projekt (die neue Implementierung basiert auf dem Code des USAGI-Projektes, welches wiederum auf dem KAME-Projekt basiert, also ist das hier quasi das "native" Tool), Pluto aus dem FreeS/WAN-Projekt (was eine erleichterte Umstellung erlaubt) und ISAKMPD von OpenBSD (von vielen als "die Beste" IPSec-Implementierung betrachtet, was auch immer das heißen mag).
Ein zweiter Punkt ist die Qualität des Quellcodes. Zunächst ein Hinweis: Ich selber bin kein Programmierer, deswegen kann ich das überhaupt nicht beurteilen und gebe hier also nur Meinungen aus zweiter Hand wieder. Aber nach dem, was ich bisher gehört habe, soll das neue Linux-IPSec wesentlich besser sein als KLIPS. Für die Qualität von KLIPS habe ich mal die Beschreibung "ein in Software gegossener Haufen Scheiße" gelesen, und das war im Vergleich zu anderen Aussagen noch milde ausgedrückt. Das dürfte auch der Grund dafür sein, dass KLIPS nie in den kernel.org-Kernel übernommen wurde. Der neue Code stammt IIRC von Dave Miller, der sich mit den Netzwerk-Systemen des Kernels bestens auskennt und auch ein langjähriger und anerkannter Kernel-Hacker insbesondere im Netzwerk-Bereich ist.
> Ist es leichter zu konfigurieren?
Diese Frage erübrigt sich dann wohl. Die Komplexität der Konfiguration hängt schließlich nicht vom Kernelmodul sondern von den Userspace-Tools ab und da hat der Administrator die freie Auswahl.
Wow, super, dank Dir für die verständliche Erläuterung! Hoffentlich komm ich mal dazu, es auszuprobieren.
Im Moment liegt mir OpenVPN zu sehr im Kopf und das funktioniert bis jetzt bei allem, für was ich es einsetzen wollte. (OpenVPN-Server direkt am Internet/Firma, OpenVPN-Client hinter einem Router, z.b. zu Hause, Hotels etc...)
OpenVPN kann ich, seitdem es eine Windowsversion gibt, endlich in der Firma verbreiten und ist unter Windows sehr leicht installiert.
Für die Anwender in der Firma, in der ich arbeite, geradezu ideal, weil ich mit Linux fast die einzige Ausnahme bin.
Zunächst mal scheint hier in allen Kommentaren, die ich hier gesehen habe, ein Missverständnis vorzuliegen: die neue IPSec-Implementierung, die in Linux 2.6 und als Patches zu Linux 2.4 erhältlich ist, ist kein Ersatz für FreeS/WAN. Genauer gesagt, die neue Kernel-Implementierung ist lediglich ein Ersatz für die alte Kernel-Implementierung, nämlich das KLIPS-Modul (Kernel Level IPSec) aus dem FreeS/WAN-Projekt. Userspace-Tools für die Konfiguration und den Schlüsselaustausch benötigt man natürlich trotzdem noch. Und genau hier zeigt sich ein großer Vorteil des neuen Linux-IPSec gegenüber FreeS/WAN: KLIPS (das Kernel-Modul aus dem FreeS/WAN-Projekt) arbeitet nur mit Pluto (dem Key-Management-Daemon aus dem FreeS/WAN-Projekt) zusammen und bis vor kurzem war das auch anders herum so. Das neue Linux-IPSec dagegen ist in diesem Bereich neutral und arbeitet mit allen drei weit verbreiteten Userspace-Tools zusammen: Racoon aus dem KAME-Projekt (die neue Implementierung basiert auf dem Code des USAGI-Projektes, welches wiederum auf dem KAME-Projekt basiert, also ist das hier quasi das "native" Tool), Pluto aus dem FreeS/WAN-Projekt (was eine erleichterte Umstellung erlaubt) und ISAKMPD von OpenBSD (von vielen als "die Beste" IPSec-Implementierung betrachtet, was auch immer das heißen mag).
Ein zweiter Punkt ist die Qualität des Quellcodes. Zunächst ein Hinweis: Ich selber bin kein Programmierer, deswegen kann ich das überhaupt nicht beurteilen und gebe hier also nur Meinungen aus zweiter Hand wieder. Aber nach dem, was ich bisher gehört habe, soll das neue Linux-IPSec wesentlich besser sein als KLIPS. Für die Qualität von KLIPS habe ich mal die Beschreibung "ein in Software gegossener Haufen Scheiße" gelesen, und das war im Vergleich zu anderen Aussagen noch milde ausgedrückt. Das dürfte auch der Grund dafür sein, dass KLIPS nie in den kernel.org-Kernel übernommen wurde. Der neue Code stammt IIRC von Dave Miller, der sich mit den Netzwerk-Systemen des Kernels bestens auskennt und auch ein langjähriger und anerkannter Kernel-Hacker insbesondere im Netzwerk-Bereich ist.
> Ist es leichter zu konfigurieren?
Diese Frage erübrigt sich dann wohl. Die Komplexität der Konfiguration hängt schließlich nicht vom Kernelmodul sondern von den Userspace-Tools ab und da hat der Administrator die freie Auswahl.
jwm
Im Moment liegt mir OpenVPN zu sehr im Kopf und das funktioniert bis jetzt bei allem, für was ich es einsetzen wollte. (OpenVPN-Server direkt am Internet/Firma, OpenVPN-Client hinter einem Router, z.b. zu Hause, Hotels etc...)
OpenVPN kann ich, seitdem es eine Windowsversion gibt, endlich in der Firma verbreiten und ist unter Windows sehr leicht installiert.
Für die Anwender in der Firma, in der ich arbeite, geradezu ideal, weil ich mit Linux fast die einzige Ausnahme bin.