Claudiu wrote:
>
> Am urmatoarea situatie:
>
> .-- existing VPN --.
> Server A <-----> Masq box <-----> Internet <-----> Server B
> ^--------------------- VPN (target problem) --------^
>
> Se vrea sa se faca un VPN intre Server A si Server B. Tinand cont ca ma
> pot conecta de la A la B, dar invers nu (din cauza masq), am gandit sa
> implementez VPN-ul prin ssh. Insa am vazut ca sunt niste dezavantaje: daca
> pppd de pe A moare, nu moare conexiunea ssh si nici pppd de pe B.
>
> Problema: se poate implementa VPN-ul in alt mod (IPSec, CIPE), tinand
> cont de inconvenientele care le are masquerade-ul ?
>
Cu IPSEC nu poti sa treci direct printr-un nat box. Problema e ca
autentificarea (headerele AH) se calculeaza si pe headerul ip, deci nu
poti sa il modifici.
O solutie ar fi sa faci IPSEC printr-un tunel IPnIP si sa faci masq. la
tunel. Daca masq. boxul e linux o sa trebuie sa modifici putin codul de
masquerade pentru IPnIP, dar e destul de simplu atat timp cat ai un
singur tunel. Daca ai mai multe trebuie sa gasesti o methoda sa le
identifici (GRE + key ?) ca sa poti pune adresa destinatie corecta.
Mult mai simplu ar fi sa faci tunel ipnip de la server b la masq. box si
adaugi ruta la server a prin tunel. Pe masq. box adaugi ruta la server b
prin tunel. Dupa aia faci ipsec intre a si b. Asta daca nu ai coliziuni
de adrese private (.e.g server a: 10.0.0.1 si in reteaua lui server b
exista si acolo un 10.0.0.1).
Bineinteles ca in loc sa te compici cu toate tunelele astea ai putea
sa-i dai lui server A o adresa publica, la care sa nu faci masq.
Andrei
---
Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to
unsubscribe from this list.
