Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Сталкивался, настраивал не сам, а провы. С Микрософтовым ВПН... 06.04.06 10:13 Число просмотров: 3560
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
> Кто-нибудь сталкивался, нужно настроить безопасное
> соединение к RDP с аутентификацией по preshared key с
> помощью IPSec. И клиент и сервер - Win2003. Проблема в
> том, что клиент находится за NAT'ом (DSL модем), и что-то
> этот нат такого гадкого делает, что не позволяет соединению
> успешно установиться.
Сталкивался, настраивал не сам, а провы. С Микрософтовым ВПН проще, но почти те же геморы. КериоВПН просто лучше, но от сетевых правил не уйти. Не смотря на то, что логически соединение может открываться из внутренней сети, ВПНы, особенно АйПиСек использует безсокетные/безсессионные протоколы. Короче ТиСиПи работает, поскольку пришедший пакет снаружи несет еще и информацию о портике, по которой НАТ может понять куда этот пакет прокинуть во внутреннюю сеть. В случае АйПи такой возможности нет.
Предлагаются варианты:
Самый простой, если есть свободный внешний АйПишник, то на шлюзе настроить мостик ВнешнийАйПи=ВнутреннийАйПи.
Посложнее, нужно настроить прокидывание 50 и 51 протокола и не помню какого-то еще порта, использующегося для синхронизации, обменом сессиоными ключами и еще чем-то на соответствующую машинку внутри.
На новом месте у нас используется нечто среднее - всего один адрес, на модеме проброс этого на адреса на внутренний, всего один сегмент АДСЛ_модем=сервер, у сервера вторая карточка на внутреннюю сеть. КЕРИО работает. АйПиСек мог бы и не заработать, он при бОльшей надежность более требователен, он может потребовать, чтоб шлюз не подменял адрес отправителя.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
