Re: [Lug-bg] iptables, NAT and PPTP
- Subject: Re: [Lug-bg] iptables, NAT and PPTP
- From: Kamen Medarski <kamedarski@xxxxxxxxx>
- Date: Thu, 12 Feb 2009 17:20:43 +0200
И аз да вметна нещо. Имплементирайки IPSec не е най лесното нещо,
наистина работи чудесно, но стигайки до рутинг полиците човек се хваща
за главата. Необходимо е доста четене и не е от най-приятните неща за
конфигуриране. Спомням си за още един проблем, надявам се да са го
оправили, но той е че не се създава дъми устройство през което лесно
може да се насочва определен сегмент от адреси.
http://www.unix-ag.uni-kl.de/~massar/vpnc/
http://www.longren.org/2007/05/17/how-to-cisco-vpn-client-on-ubuntu-704-feisty-fawn/
Поразгледай двете неща, не са много конкретни за твоята ситуация, но
биха могли да ти свършат работа.Препоръчвам циско впн клиента, тъй
като той не е зависим от модули в ядрото а билдва свой и ползва него.
(Ако въпросите за сигурноста на подобен тип конфигурация не те засягат
много)
Успех!
2009/2/4 Svetlin Nakov <svetlin@xxxxxxxxx>:
> Доколкото четох, този IPSec се пуска отгоре върху вече изграден тунел от UDP
> пакети. Това означава, че моят Linux firewall няма да знае за IPSec и ще
> знае само за тунела, изграден от L2TP протокола. Не е ли така? В такъв
> случай няма да има нужда от маскиране на IPSec пакети, защото те ще се
> движат по UDP базиран тунел.
>
> Иначе аз са моя офис си ползвам OpenVPN и никога не съм имал проблеми. Това
> нещо просто работи безотказно и безпроблемно. Обаче VPN сървъра на моите
> клиенти е хардуерен и не поддържа OpenVPN.
>
> Наков
>
> -----Original Message-----
> From: lug-bg-bounces@xxxxxxxxxxxxxxxxxx
> [mailto:lug-bg-bounces@xxxxxxxxxxxxxxxxxx] On Behalf Of Nickola Kolev
> Sent: Tuesday, February 03, 2009 9:38 PM
> To: Linux Users Group - Bulgaria
> Subject: Re: [Lug-bg] iptables, NAT and PPTP
>
> Здравей,
>
> L2TP наистина иска порт 1701, но не съм сигурен какво се получава
> при NAT/маскиране.
>
> IPSec от своя страна, иска отворени порт 500/udp и типове
> протоколи ah/esp. Маскирането на IPSec не е много по-цветущо в
> ядрата 2.4, отколкото PPTP - едва наскоро състоянието на NAT-T
> стандартите се стабилизира и подобри.
>
> Жоро Чорбаджийски съвсем правилно предложи обновяването на системата
> до нещо по-съвременно - гарантирано така ще имаш по-малко проблеми
> в бъдеще. Иначе се поразтърси за (остарели) документации като
> за твоята платформа/среда.
>
> On Tue, 3 Feb 2009 21:04:53 +0200
> "Svetlin Nakov" <svetlin@xxxxxxxxx> wrote:
>
>> Благодаря за насоките, Никола.
>>
>> Мисля, че ще е по-лесно да накарам отсрещната страна да минем на
> L2TP/IPSec
>> VPN. Той иска единствено UDP порт 1701, нали? Не би трябвало да имаме
>> проблеми със сегашните настройки и преминаване през NAT базиран на
> iptables,
>> или бъркам нещо?
>>
>> Наков
>>
>> -----Original Message-----
>> From: lug-bg-bounces@xxxxxxxxxxxxxxxxxx
>> [mailto:lug-bg-bounces@xxxxxxxxxxxxxxxxxx] On Behalf Of Nickola Kolev
>> Sent: Tuesday, February 03, 2009 2:49 PM
>> To: Linux Users Group - Bulgaria
>> Subject: Re: [Lug-bg] iptables, NAT and PPTP
>>
>> Здрасти,
>>
>> Можеш да прочетеш отговорите ми по-долу.
>>
>> На Tue, 3 Feb 2009 14:03:42 +0200
>> "Svetlin Nakov" <svetlin@xxxxxxxxx> написа:
>>
>> > Ами да, наистина и аз стигнах до тази идея. Обаче трябва да мигрирам и
>> > всички настройки: dns settings, routing, firewall rules, openvpn
>> > settings, etc.
>>
>> Това не е невъзможно, но изисква внимателно планиране.
>>
>> > Има ли лесен начин да направя upgrade към Fedora 10 вместо пълен
>> > reinstall?
>>
>> Не, няма лесен начин. В документацията на всички Red Hat базирани
>> дистрибуции се казва, че препоръчваното решение е пълна
>> преинсталация, а не обновяване и надграждане до по-нова версия. Не
>> казвам, че не е възможно, просто има голям шанс да се счупи нещо. А, и
>> единственият _поддържан_ "upgrade path" е от версия до версия - т.е.
>> примерно от redhat7.1 до 7.2, после до 7.3, после до 8, 9 и т.н.
>>
>> > Освен това в kernel 2.6 лесно ли се пуска това pptp или пак ще трябва
>> > да пачвам кърнела?
>>
>> "Лесно" е относително определение. Трябва да решиш как ще си оторизираш
>> потребителите, дали в играта ще влезе някакъв сложен рутинг, и т.н.
>> Но за закърпване на ядрото - не, не е необходимо при съвременните ядра
>> 2.6.
>>
>> > Наков
>> >
>> > -----Original Message-----
>> > From: lug-bg-bounces@xxxxxxxxxxxxxxxxxx
>> > [mailto:lug-bg-bounces@xxxxxxxxxxxxxxxxxx] On Behalf Of Georgi
>> > Chorbadzhiyski
>> > Sent: Tuesday, February 03, 2009 11:18 AM
>> > To: Linux Users Group - Bulgaria
>> > Subject: Re: [Lug-bg] iptables, NAT and PPTP
>> >
>> > Svetlin Nakov wrote ... , On 2/3/09 10:57 AM:
>> > > Ами въпросният модул го няма:
>> > >
>> > > [root@border-router tmp]# lsmod | grep ip_nat_pptp
>> > > [root@border-router tmp]# modprobe ip_nat_pptp
>> > > modprobe: Can't locate module ip_nat_pptp
>> > >
>> > > Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този
>> > > модул? Тук намерих някакъв patch, но е за kernel 2.4.19:
>> > > http://www.impsec.org/linux/masquerade/ip_masq_vpn.html
>> > >
>> > > Някакви идеи?
>> >
>> > Това ядро дето го ползваш е толкова старо, че се води
>> > праисторическо (на повече от шест години) :) Ако не минеш
>> > на 2.6 едва ли ще можеш да се справиш. Спести си
>> > услията, които ще хвърлиш в подкарването на pptp на
>> > 2.4, метни се една федора 10 (или там която е последната
>> > версия, тъй като ползваш redhat) едва ли ще ти отнеме повече
>> > от час.
>> >
>> > --
>> > Georgi Chorbadzhiyski
>> > http://georgi.unixsol.org/
>> >
>> > _______________________________________________
>> > Lug-bg mailing list
>> > Lug-bg@xxxxxxxxxxxxxxxxxx
>> > http://linux-bulgaria.org/mailman/listinfo/lug-bg
>> > _______________________________________________
>> > Lug-bg mailing list
>> > Lug-bg@xxxxxxxxxxxxxxxxxx
>> > http://linux-bulgaria.org/mailman/listinfo/lug-bg
>>
>>
>> --
>> Поздрави,
>> Никола
>> _______________________________________________
>> Lug-bg mailing list
>> Lug-bg@xxxxxxxxxxxxxxxxxx
>> http://linux-bulgaria.org/mailman/listinfo/lug-bg
>
>
> --
> Nickola Kolev <nikky@xxxxxxx>
> _______________________________________________
> Lug-bg mailing list
> Lug-bg@xxxxxxxxxxxxxxxxxx
> http://linux-bulgaria.org/mailman/listinfo/lug-bg
> _______________________________________________
> Lug-bg mailing list
> Lug-bg@xxxxxxxxxxxxxxxxxx
> http://linux-bulgaria.org/mailman/listinfo/lug-bg
>
_______________________________________________
Lug-bg mailing list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg
|