Re: lug-bg: VPN

[Georgi Ivanov <genius@xxxxxxxxxxxxxx>]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

George Danchev wrote:
| On Wednesday 03 November 2004 18:21, Denislav Ganchev wrote:
|
|>Може темата малко да е поизтъркана за, което се извинявам ако ви
|>отегчавам. Поне търсенето ми по архива на групата не ми помогна кои знае
|>колко.
|>Борих се едно известно време с Debian 3.0 + Openswan 2.2.0-4(Debian
|>packet),kernel-image-2.6.8-1-686 2.6.8-4(debian packet). При настройката
|>на Openswan целта беше да може да се аутентицират клиентите с Х.509
|>сертификати подписани от създадено от мене CA. При първа настройка
|>всичко тръгна като Debian машината беше в LAN, a Windowsa беше в същия
|>LAN. После изкарах машината с Openswana с реално IPи пробвах от машина с
|>реално IP но уви нищо не се получи. Както и да е това не знам каде е
|>проблема не съм променял драстично конфигурацията, само доколкото да
|>пасне с IP на left и right хостове.
|
|
| според мен трябва да са тунелирани (pptp, stunnel ... ), че да вдигнеш
IPsec.
| Иска се да има nexthop ... (ако греша, някой да ме поправи ;-)
при left=%defaultroute в Swan family сам си хваща nexthop
|
|
|>Въпроса ми е следниа дори и да потръгнат нещата с Openswan дали може да
|>се ползва същия за клиенти, които са в LAN, които се маскира от Gateway
|>някакъв. Прочетох, че GWто трябва да подържа NAT-traversal така да се
|>каже за да се тракват IPsec пакетите, които се маскират, или нещо гешно
|>съм разбрал постановката. Интересува ме да сподели някой, който е
|>работил с подобна схема 'щото дори и да тръгне OpenSwana при подобна
|>ситуация пак потребителите в с квартални интернет доставчици са отново
|>"на сухо". За момента ползвам pptp, но там пък е проблема с филтрирането
|>на GRE пакети(понякога) от хостове през, които се маршрутизира и пак
|>мрънкат усерите, че vpn-a не работи добре. Та някой ако има опит с VPN
|>при, които потребителите му ползват Windows и да е се транслира през
|>почти всяка среда моля да сподели.
|
|
| ами IPsec не работи през NAT заради това, че IPsec като протокол няма
нито
| TCP, нито UDP порт номер .. за това се използва една техника NAT-T
| (NAT-Traversal) да се енкапсулира IPsec пакетите в нормални UDP пакети
а порт
| еди кой си ... Сега вече тези UDP пакети могат да се NAT-ват ... Та
NAT-T ще
| ти трябва ;-)
|
| NAT-T се поддържа от openswan и strongswan, последния май има повече
| features ... няма го в официалния дебиан за сега, но в последния
тарбол 2.2.2
| от strongswan.org има включена debian/ директория с maintainer files,
така,
| че може да билднеш локал дебс... Пак там, в сорса на тарбола четеш
| README.NAT-Traversal. С последните контрибуции в isakmpd май са
добавили и те
| NAT-T ... може да се провери ...
|
| За виндовс клиентите може да ги уредиш с http://vpn.ebootis.de/
| не съм го пробвал де ...
|
|

Този клиент е доста окълцан има малко възможности. Препоръчвам PGPNet
или SSHSentinel

- --
Georgi Ivanov
Aii Data Processing
System Administrator
IT Department

http://6lyokavitza.org
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (FreeBSD)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFBiS0U0dEkp0mjhDsRAgxbAKCSFcmImT5qvHhdQXflfqTjUUxEvACeP0qi
PNztDaHAnYzJc+n1J8BGhj8=
=cB3l
-----END PGP SIGNATURE-----
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================