Re: [Lug-bg] iptables, NAT and PPTP
- Subject: Re: [Lug-bg] iptables, NAT and PPTP
- From: "Svetlin Nakov" <svetlin@xxxxxxxxx>
- Date: Wed, 4 Feb 2009 10:11:59 +0200
- Organization: National Academy for Software Development (NASD)
Доколкото четох, този IPSec се пуска отгоре върху вече изграден тунел от UDP
пакети. Това означава, че моят Linux firewall няма да знае за IPSec и ще
знае само за тунела, изграден от L2TP протокола. Не е ли така? В такъв
случай няма да има нужда от маскиране на IPSec пакети, защото те ще се
движат по UDP базиран тунел.
Иначе аз са моя офис си ползвам OpenVPN и никога не съм имал проблеми. Това
нещо просто работи безотказно и безпроблемно. Обаче VPN сървъра на моите
клиенти е хардуерен и не поддържа OpenVPN.
Наков
-----Original Message-----
From: lug-bg-bounces@xxxxxxxxxxxxxxxxxx
[mailto:lug-bg-bounces@xxxxxxxxxxxxxxxxxx] On Behalf Of Nickola Kolev
Sent: Tuesday, February 03, 2009 9:38 PM
To: Linux Users Group - Bulgaria
Subject: Re: [Lug-bg] iptables, NAT and PPTP
Здравей,
L2TP наистина иска порт 1701, но не съм сигурен какво се получава
при NAT/маскиране.
IPSec от своя страна, иска отворени порт 500/udp и типове
протоколи ah/esp. Маскирането на IPSec не е много по-цветущо в
ядрата 2.4, отколкото PPTP - едва наскоро състоянието на NAT-T
стандартите се стабилизира и подобри.
Жоро Чорбаджийски съвсем правилно предложи обновяването на системата
до нещо по-съвременно - гарантирано така ще имаш по-малко проблеми
в бъдеще. Иначе се поразтърси за (остарели) документации като
за твоята платформа/среда.
On Tue, 3 Feb 2009 21:04:53 +0200
"Svetlin Nakov" <svetlin@xxxxxxxxx> wrote:
> Благодаря за насоките, Никола.
>
> Мисля, че ще е по-лесно да накарам отсрещната страна да минем на
L2TP/IPSec
> VPN. Той иска единствено UDP порт 1701, нали? Не би трябвало да имаме
> проблеми със сегашните настройки и преминаване през NAT базиран на
iptables,
> или бъркам нещо?
>
> Наков
>
> -----Original Message-----
> From: lug-bg-bounces@xxxxxxxxxxxxxxxxxx
> [mailto:lug-bg-bounces@xxxxxxxxxxxxxxxxxx] On Behalf Of Nickola Kolev
> Sent: Tuesday, February 03, 2009 2:49 PM
> To: Linux Users Group - Bulgaria
> Subject: Re: [Lug-bg] iptables, NAT and PPTP
>
> Здрасти,
>
> Можеш да прочетеш отговорите ми по-долу.
>
> На Tue, 3 Feb 2009 14:03:42 +0200
> "Svetlin Nakov" <svetlin@xxxxxxxxx> написа:
>
> > Ами да, наистина и аз стигнах до тази идея. Обаче трябва да мигрирам и
> > всички настройки: dns settings, routing, firewall rules, openvpn
> > settings, etc.
>
> Това не е невъзможно, но изисква внимателно планиране.
>
> > Има ли лесен начин да направя upgrade към Fedora 10 вместо пълен
> > reinstall?
>
> Не, няма лесен начин. В документацията на всички Red Hat базирани
> дистрибуции се казва, че препоръчваното решение е пълна
> преинсталация, а не обновяване и надграждане до по-нова версия. Не
> казвам, че не е възможно, просто има голям шанс да се счупи нещо. А, и
> единственият _поддържан_ "upgrade path" е от версия до версия - т.е.
> примерно от redhat7.1 до 7.2, после до 7.3, после до 8, 9 и т.н.
>
> > Освен това в kernel 2.6 лесно ли се пуска това pptp или пак ще трябва
> > да пачвам кърнела?
>
> "Лесно" е относително определение. Трябва да решиш как ще си оторизираш
> потребителите, дали в играта ще влезе някакъв сложен рутинг, и т.н.
> Но за закърпване на ядрото - не, не е необходимо при съвременните ядра
> 2.6.
>
> > Наков
> >
> > -----Original Message-----
> > From: lug-bg-bounces@xxxxxxxxxxxxxxxxxx
> > [mailto:lug-bg-bounces@xxxxxxxxxxxxxxxxxx] On Behalf Of Georgi
> > Chorbadzhiyski
> > Sent: Tuesday, February 03, 2009 11:18 AM
> > To: Linux Users Group - Bulgaria
> > Subject: Re: [Lug-bg] iptables, NAT and PPTP
> >
> > Svetlin Nakov wrote ... , On 2/3/09 10:57 AM:
> > > Ами въпросният модул го няма:
> > >
> > > [root@border-router tmp]# lsmod | grep ip_nat_pptp
> > > [root@border-router tmp]# modprobe ip_nat_pptp
> > > modprobe: Can't locate module ip_nat_pptp
> > >
> > > Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този
> > > модул? Тук намерих някакъв patch, но е за kernel 2.4.19:
> > > http://www.impsec.org/linux/masquerade/ip_masq_vpn.html
> > >
> > > Някакви идеи?
> >
> > Това ядро дето го ползваш е толкова старо, че се води
> > праисторическо (на повече от шест години) :) Ако не минеш
> > на 2.6 едва ли ще можеш да се справиш. Спести си
> > услията, които ще хвърлиш в подкарването на pptp на
> > 2.4, метни се една федора 10 (или там която е последната
> > версия, тъй като ползваш redhat) едва ли ще ти отнеме повече
> > от час.
> >
> > --
> > Georgi Chorbadzhiyski
> > http://georgi.unixsol.org/
> >
> > _______________________________________________
> > Lug-bg mailing list
> > Lug-bg@xxxxxxxxxxxxxxxxxx
> > http://linux-bulgaria.org/mailman/listinfo/lug-bg
> > _______________________________________________
> > Lug-bg mailing list
> > Lug-bg@xxxxxxxxxxxxxxxxxx
> > http://linux-bulgaria.org/mailman/listinfo/lug-bg
>
>
> --
> Поздрави,
> Никола
> _______________________________________________
> Lug-bg mailing list
> Lug-bg@xxxxxxxxxxxxxxxxxx
> http://linux-bulgaria.org/mailman/listinfo/lug-bg
--
Nickola Kolev <nikky@xxxxxxx>
_______________________________________________
Lug-bg mailing list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg
_______________________________________________
Lug-bg mailing list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg
|