И аз да вметна нещо. Имплементирайки IPSec не е най лесното нещо, наистина работи чудесно, но стигайки до рутинг полиците човек се хваща за главата. Необходимо е доста четене и не е от най-приятните неща за конфигуриране. Спомням си за още един проблем, надявам се да са го оправили, но той е че не се създава дъми устройство през което лесно може да се насочва определен сегмент от адреси.
http://www.unix-ag.uni-kl.de/~massar/vpnc/ http://www.longren.org/2007/05/17/how-to-cisco-vpn-client-on-ubuntu-704-feisty-fawn/ Поразгледай двете неща, не са много конкретни за твоята ситуация, но биха могли да ти свършат работа.Препоръчвам циско впн клиента, тъй като той не е зависим от модули в ядрото а билдва свой и ползва него. (Ако въпросите за сигурноста на подобен тип конфигурация не те засягат много) Успех! 2009/2/4 Svetlin Nakov <[email protected]>: > Доколкото четох, този IPSec се пуска отгоре върху вече изграден тунел от UDP > пакети. Това означава, че моят Linux firewall няма да знае за IPSec и ще > знае само за тунела, изграден от L2TP протокола. Не е ли така? В такъв > случай няма да има нужда от маскиране на IPSec пакети, защото те ще се > движат по UDP базиран тунел. > > Иначе аз са моя офис си ползвам OpenVPN и никога не съм имал проблеми. Това > нещо просто работи безотказно и безпроблемно. Обаче VPN сървъра на моите > клиенти е хардуерен и не поддържа OpenVPN. > > Наков > > -----Original Message----- > From: [email protected] > [mailto:[email protected]] On Behalf Of Nickola Kolev > Sent: Tuesday, February 03, 2009 9:38 PM > To: Linux Users Group - Bulgaria > Subject: Re: [Lug-bg] iptables, NAT and PPTP > > Здравей, > > L2TP наистина иска порт 1701, но не съм сигурен какво се получава > при NAT/маскиране. > > IPSec от своя страна, иска отворени порт 500/udp и типове > протоколи ah/esp. Маскирането на IPSec не е много по-цветущо в > ядрата 2.4, отколкото PPTP - едва наскоро състоянието на NAT-T > стандартите се стабилизира и подобри. > > Жоро Чорбаджийски съвсем правилно предложи обновяването на системата > до нещо по-съвременно - гарантирано така ще имаш по-малко проблеми > в бъдеще. Иначе се поразтърси за (остарели) документации като > за твоята платформа/среда. > > On Tue, 3 Feb 2009 21:04:53 +0200 > "Svetlin Nakov" <[email protected]> wrote: > >> Благодаря за насоките, Никола. >> >> Мисля, че ще е по-лесно да накарам отсрещната страна да минем на > L2TP/IPSec >> VPN. Той иска единствено UDP порт 1701, нали? Не би трябвало да имаме >> проблеми със сегашните настройки и преминаване през NAT базиран на > iptables, >> или бъркам нещо? >> >> Наков >> >> -----Original Message----- >> From: [email protected] >> [mailto:[email protected]] On Behalf Of Nickola Kolev >> Sent: Tuesday, February 03, 2009 2:49 PM >> To: Linux Users Group - Bulgaria >> Subject: Re: [Lug-bg] iptables, NAT and PPTP >> >> Здрасти, >> >> Можеш да прочетеш отговорите ми по-долу. >> >> На Tue, 3 Feb 2009 14:03:42 +0200 >> "Svetlin Nakov" <[email protected]> написа: >> >> > Ами да, наистина и аз стигнах до тази идея. Обаче трябва да мигрирам и >> > всички настройки: dns settings, routing, firewall rules, openvpn >> > settings, etc. >> >> Това не е невъзможно, но изисква внимателно планиране. >> >> > Има ли лесен начин да направя upgrade към Fedora 10 вместо пълен >> > reinstall? >> >> Не, няма лесен начин. В документацията на всички Red Hat базирани >> дистрибуции се казва, че препоръчваното решение е пълна >> преинсталация, а не обновяване и надграждане до по-нова версия. Не >> казвам, че не е възможно, просто има голям шанс да се счупи нещо. А, и >> единственият _поддържан_ "upgrade path" е от версия до версия - т.е. >> примерно от redhat7.1 до 7.2, после до 7.3, после до 8, 9 и т.н. >> >> > Освен това в kernel 2.6 лесно ли се пуска това pptp или пак ще трябва >> > да пачвам кърнела? >> >> "Лесно" е относително определение. Трябва да решиш как ще си оторизираш >> потребителите, дали в играта ще влезе някакъв сложен рутинг, и т.н. >> Но за закърпване на ядрото - не, не е необходимо при съвременните ядра >> 2.6. >> >> > Наков >> > >> > -----Original Message----- >> > From: [email protected] >> > [mailto:[email protected]] On Behalf Of Georgi >> > Chorbadzhiyski >> > Sent: Tuesday, February 03, 2009 11:18 AM >> > To: Linux Users Group - Bulgaria >> > Subject: Re: [Lug-bg] iptables, NAT and PPTP >> > >> > Svetlin Nakov wrote ... , On 2/3/09 10:57 AM: >> > > Ами въпросният модул го няма: >> > > >> > > [r...@border-router tmp]# lsmod | grep ip_nat_pptp >> > > [r...@border-router tmp]# modprobe ip_nat_pptp >> > > modprobe: Can't locate module ip_nat_pptp >> > > >> > > Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този >> > > модул? Тук намерих някакъв patch, но е за kernel 2.4.19: >> > > http://www.impsec.org/linux/masquerade/ip_masq_vpn.html >> > > >> > > Някакви идеи? >> > >> > Това ядро дето го ползваш е толкова старо, че се води >> > праисторическо (на повече от шест години) :) Ако не минеш >> > на 2.6 едва ли ще можеш да се справиш. Спести си >> > услията, които ще хвърлиш в подкарването на pptp на >> > 2.4, метни се една федора 10 (или там която е последната >> > версия, тъй като ползваш redhat) едва ли ще ти отнеме повече >> > от час. >> > >> > -- >> > Georgi Chorbadzhiyski >> > http://georgi.unixsol.org/ >> > >> > _______________________________________________ >> > Lug-bg mailing list >> > [email protected] >> > http://linux-bulgaria.org/mailman/listinfo/lug-bg >> > _______________________________________________ >> > Lug-bg mailing list >> > [email protected] >> > http://linux-bulgaria.org/mailman/listinfo/lug-bg >> >> >> -- >> Поздрави, >> Никола >> _______________________________________________ >> Lug-bg mailing list >> [email protected] >> http://linux-bulgaria.org/mailman/listinfo/lug-bg > > > -- > Nickola Kolev <[email protected]> > _______________________________________________ > Lug-bg mailing list > [email protected] > http://linux-bulgaria.org/mailman/listinfo/lug-bg > _______________________________________________ > Lug-bg mailing list > [email protected] > http://linux-bulgaria.org/mailman/listinfo/lug-bg > _______________________________________________ Lug-bg mailing list [email protected] http://linux-bulgaria.org/mailman/listinfo/lug-bg
