Re: lug-bg: VPN

[George Danchev <danchev@xxxxxxxxx>]

On Wednesday 03 November 2004 18:21, Denislav Ganchev wrote:
> Може темата малко да е поизтъркана за, което се извинявам ако ви
> отегчавам. Поне търсенето ми по архива на групата не ми помогна кои знае
> колко.
> Борих се едно известно време с Debian 3.0 + Openswan 2.2.0-4(Debian
> packet),kernel-image-2.6.8-1-686 2.6.8-4(debian packet). При настройката
> на Openswan целта беше да може да се аутентицират клиентите с Х.509
> сертификати подписани от създадено от мене CA. При първа настройка
> всичко тръгна като Debian машината беше в LAN, a Windowsa беше в същия
> LAN. После изкарах машината с Openswana с реално IPи пробвах от машина с
> реално IP но уви нищо не се получи. Както и да е това не знам каде е
> проблема не съм променял драстично конфигурацията, само доколкото да
> пасне с IP на left и right хостове.

според мен трябва да са тунелирани (pptp, stunnel ... ), че да вдигнеш IPsec. 
Иска се да има nexthop ... (ако греша, някой да ме поправи ;-)

> Въпроса ми е следниа дори и да потръгнат нещата с Openswan дали може да
> се ползва същия за клиенти, които са в LAN, които се маскира от Gateway
> някакъв. Прочетох, че GWто трябва да подържа NAT-traversal така да се
> каже за да се тракват IPsec пакетите, които се маскират, или нещо гешно
> съм разбрал постановката. Интересува ме да сподели някой, който е
> работил с подобна схема 'щото дори и да тръгне OpenSwana при подобна
> ситуация пак потребителите в с квартални интернет доставчици са отново
> "на сухо". За момента ползвам pptp, но там пък е проблема с филтрирането
> на GRE пакети(понякога) от хостове през, които се маршрутизира и пак
> мрънкат усерите, че vpn-a не работи добре. Та някой ако има опит с VPN
> при, които потребителите му ползват Windows и да е се транслира през
> почти всяка среда моля да сподели.

ами IPsec не работи през NAT заради това, че IPsec като протокол няма нито 
TCP, нито UDP порт номер .. за това се използва една техника NAT-T 
(NAT-Traversal) да се енкапсулира IPsec пакетите в нормални UDP пакети а порт 
еди кой си ... Сега вече тези UDP пакети могат да се NAT-ват ... Та NAT-T ще 
ти трябва ;-)

NAT-T се поддържа от openswan и strongswan, последния май има повече 
features ... няма го в официалния дебиан за сега, но в последния тарбол 2.2.2 
от strongswan.org има включена debian/ директория с maintainer files, така, 
че може да билднеш локал дебс... Пак там, в сорса на тарбола четеш 
README.NAT-Traversal. С последните контрибуции в isakmpd май са добавили и те 
NAT-T ... може да се провери ... 

За виндовс клиентите може да ги уредиш с http://vpn.ebootis.de/
не съм го пробвал де ...
 

-- 
pub 4096R/0E4BD0AB  2003-03-18  <keyserver.bu.edu ; pgp.mit.edu>
fingerprint 1AE7 7C66 0A26 5BFF DF22 5D55 1C57 0C89 0E4B D0AB 
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================