FreeS/wan implémente IPSEC dans le noyau Linux, afin de créer un VPN (NdM : Virtual Private Network, Réseau Privé Virtuel) entre plusieurs machines, ou des réseaux complets.
La raison de cet arrêt semble être la différence entre l'offre et la demande : tout le monde voudrait une couche IPSEC "feature-rich" pour les entreprises, alors que le but du projet est la banalisation de "Opportunistic Encryption".
Aller plus loin
- Le site FreeS/WAN (17 clics)
- L'annonce (2 clics)
- Wikipedia EN : IPSEC (2 clics)
# Arrêt du projet FreeS/WAN : oui mais quelles alternatives?
Posté par DAGAN Alexandre (site web personnel) . Évalué à 2.
Mais quelles sont donc les alternatives à FreeS/WAN?
Y'en a-t-il qui répondent à cette exigence de couche IPSEC "feature-rich" ?
Rassurez-moi, il existe bien une alternative libre aux solutions Cisco VPN Client, Check Point SecuRemote/SecureClient et consors???
[^] # Re: Arrêt du projet FreeS/WAN : oui mais quelles alternatives?
Posté par Raphaël SurcouF (site web personnel) . Évalué à 4.
Sinon, il existe aussi un patch provenant de kernel.org et intégré depuis les version 2.4.2x des noyaux debian au sein de ceux-ci (ce qui rend l'application du
patch freeswan inapplicable et pose même des problèmes avec grsec selon les versions).
Bref, pour faire des tunnels, on va devoir se tourner:
- soit vers les solutions basées sur des tunnels SSL, MPPE ou TUN (openvpn ou vtun),
- soit vers l'IPv6...
[1]: http://www.linux-ipv6.org/(...)
[2]: http://www2.linux-ipv6.org/viewcvs/*checkout*/usagi/doc/HOWTO/Attic(...)
--
Raphaël SurcouF
[^] # Re: Arrêt du projet FreeS/WAN : oui mais quelles alternatives?
Posté par Blackknight (site web personnel, Mastodon) . Évalué à 4.
Oui, FreeBSD en est une. Pour cela, voir :
http://www.onlamp.com/lpt/a/3043(...)
et
http://www.onlamp.com/lpt/a/3090(...)
[^] # Re: Arrêt du projet FreeS/WAN : oui mais quelles alternatives?
Posté par rouby (site web personnel) . Évalué à 4.
[^] # Re: Arrêt du projet FreeS/WAN : oui mais quelles alternatives?
Posté par Foxy (site web personnel) . Évalué à 9.
Depuis longtemps, les mainteneurs du projet FreesWan refusaient sytématiquement les patchs et les nouvelles fonctionnalités proposés par des développeurs : NAT-Traversal, support des certificats X509, support des algos étendus (AES...).
Cela avait donné lieu à la création du "sur" projet Super Freeswan http://freeswan.ca/(...) qui était une release spécifique de Freeswan + patchs et améliorations.
Depuis quelques mois, il y a eu création d'une société autour de ce projet et création d'un fork officiel : Openswan http://www.openswan.org/(...)
Ce projet ayant pris l'acendant au niveau technique, ouverture et fonctionnalités sur le projet initial Freeswan, celui-ci se retrouvait isolé et voué à mourir.
Le futur pour IPSec sur Linux est donc Openswan.
Mais il est aussi tout à fait possible d'utiliser le support IPSec intégré au kernel 2.6 (le backport existe en 2.4 dans un patch spécifique) et un démon IKE BSD porté sur Linux (racoon et isakmp fonctionnent) : voir http://www.ipsec-howto.org/(...)
# Re: Arrêt du projet FreeS/WAN
Posté par Olivier . Évalué à 4.
Dommage pour free/swan car en depit de certains bugs le produit est tres bon.
S'il y a des partant pour reprendre et maintenir le code je suis pret!
[^] # Re: Arrêt du projet FreeS/WAN
Posté par VACHOR (site web personnel) . Évalué à 2.
Par contre la page du projet kame n'a pas l'air de se vanter de la dispo pour Linux...
[^] # Re: Arrêt du projet FreeS/WAN
Posté par Vanhu . Évalué à 2.
Par contre, comme cette pile utilise PFKeyV2 pour causer entre le noyau et le userland, ils peuvent utiliser n'importe quel demon isakmp qui utilise cette norme, et en pratique, ils utilisent Racoon (le demon Isakmp "officiel" de KAME).
[^] # Re: Arrêt du projet FreeS/WAN
Posté par efuste . Évalué à 5.
La couche IPSEC de Linux (ipv4 et ipv6) est une réimplémentation 100% from scratch par David S Miller and Co.
Donc c'est maintenant natif sous Linux (pas la peine de se touner vers autre chose comme évoqué dans un autre message), et implémenté proprement (ca fait un paquet s'années qu'ils y réfléchissent et freeswan est un très bon retour dexpérience en ce qui concerne ce qu'il faut faire et pas faire).
Les rares intérêt de freeswan sont les suivant:
- plus vieux, plus éprouvé, mais ca doit changer par la force des choses.
- mieux "tuné" sur certains algo crypto.
- demon client userspace plus puissants/complet dans la version super freeswan : X509, etc...
L'intérêt de freeswan est donc minime, les quelques "optimisation" coté crypto doivent être reporté sur la crypto API et n'ont rien a voir avec IPSEC.
Et en ce qui concerne la partie userspace, on a le choix aujourd'hui entre les outils Kame, les outils BSD ou .... les outils Freeswan au travers de Openswan (le fork de freeswan + super freeswan) qui pour les kernel 2.6 utilise la couche kernel native:
Le support de la couche native des kernel 2.6 par Openswan n'est pas encore complète/parfaite, mais c'est plus que sur la bonne voie.
Donc pour résumer, Freeswan est mort, vive Freeswan !!!
# FreeS/WAN ne concerne que le 2.4
Posté par Christophe Merlet (site web personnel) . Évalué à 6.
Le noyau 2.6 supporte nativement IPv6 et les outils de conf en mode utilisateur sont dispo en 2 versions
Les utilitaires KAME à http://ipsec-tools.sourceforge.net/(...)
Les utilitaires BSD à http://bender.thinknerd.de/~thomas/IPsec/isakmpd-linux.html(...)
Voir http://www.ipsec-howto.org/(...) pour plus d'infos.
Donc il n'y a pas à trop s'alarmer non plus. Linux supporte bien IPSec que ce soit en IPv4 ou en IPv6.
[^] # Re: FreeS/WAN ne concerne que le 2.4
Posté par Vincent Haverlant . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.