<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html;charset=UTF-8" http-equiv="Content-Type">

</head>

<body bgcolor="#ffffff" text="#000066">

Some comparison like that would interest me, too.<br>

I am basically RedHat guy, so whatever RedHat unveils for their

enterprise Linux, I go for it. Unfortunately this 'tactics' is no use

here either as in RHEL-5 you can find both OpenSwan and Kame.<br>

So I would decide based on quality of support / documentation the

mailing lists of both provide.<br>

For Openswan is the support bit troublesome as Paul seems to be the

only person willing to respond/help.<br>

I would wonder how is the situation with Kame....<br>

<br>

Ondrej<br>

<br>

Whit Blauvelt wrote:

<blockquote cite="mid:20100308170929.GA16297@transpect.com" type="cite">

  <pre wrap="">Hi,

Apologies for asking such a general question. We were using FreeSWAN

internally some years back, then switched to OpenVPN, which has been great

for that. But now we're needing to return to IPsec to tunnel from our Linux

firewall to a remote Cisco 5510. The current state of documentation for

Linux IPsec options is sparse and disorganized. So my questions are quite

basic:

For a Linux-Cisco IPsec tunnel, are each of these equally compatible with

the Cisco?

- OpenSWAN

- KAME (ipsec-tools)

- OpenBSD's isakmpd

For Ubuntu 8.04 (with kernel 2.6.24-19-server, and no X), which of those

options installs and works most smoothly? (I note that Ubuntu seems to be

largely ignoring bugs filed against OpenSWAN - see

<a class="moz-txt-link-rfc2396E" href="https://bugs.launchpad.net/ubuntu/+source/openswan/+bugs">"https://bugs.launchpad.net/ubuntu/+source/openswan/+bugs"</a>.)

At the Cisco end they prefer as defaults (but will alter if required):

Phase 1 - pre-g2-3des-sha-86400s

Phase 2 - pfs2-esp-3des-sha-28800s

and a PSK (not cert)

Are there known gotchas there for Linux? For OpenSWAN? I'm recalling

FreeSWAN having some problems with pfs; does that remain an issue?

Looking at the OpenSWAN wiki, I see for instance a comparison of Linux IPsec

options without KAME or isakmpd included. Googling on the various

combinations, I find of plenty of problem reports and partial recipes, but

little in the way of complete accounts of success. It's obvious from the

volume on this mailing list that OpenSWAN is still a viable option. It's

fully possible I've missed answers to exactly the questions here - but my

eyes glaze over after sampling so many dozens of threads. If answers are

forthcoming, I'll try to integrate them into the OpenSWAN wiki, so at least

next time someone like me won't have to address the list for such basic

stuff.

Best,

Whit

_______________________________________________

<a class="moz-txt-link-abbreviated" href="mailto:Users@openswan.org">Users@openswan.org</a>

<a class="moz-txt-link-freetext" href="http://lists.openswan.org/mailman/listinfo/users">http://lists.openswan.org/mailman/listinfo/users</a>

Building and Integrating Virtual Private Networks with Openswan: 

<a class="moz-txt-link-freetext" href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155">http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155</a>

  </pre>

</blockquote>

<br>

</body>

</html>