информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаВсе любят медСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Блокировка российских аккаунтов... 
 Отзыв сертификатов ЦБ РФ, ПСБ,... 
 Памятка мирным людям во время информационной... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Сталкивался, настраивал не сам, а провы. С Микрософтовым ВПН... 06.04.06 10:13  Число просмотров: 3376
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Кто-нибудь сталкивался, нужно настроить безопасное
> соединение к RDP с аутентификацией по preshared key с
> помощью IPSec. И клиент и сервер - Win2003. Проблема в
> том, что клиент находится за NAT'ом (DSL модем), и что-то
> этот нат такого гадкого делает, что не позволяет соединению
> успешно установиться.

Сталкивался, настраивал не сам, а провы. С Микрософтовым ВПН проще, но почти те же геморы. КериоВПН просто лучше, но от сетевых правил не уйти. Не смотря на то, что логически соединение может открываться из внутренней сети, ВПНы, особенно АйПиСек использует безсокетные/безсессионные протоколы. Короче ТиСиПи работает, поскольку пришедший пакет снаружи несет еще и информацию о портике, по которой НАТ может понять куда этот пакет прокинуть во внутреннюю сеть. В случае АйПи такой возможности нет.
Предлагаются варианты:
Самый простой, если есть свободный внешний АйПишник, то на шлюзе настроить мостик ВнешнийАйПи=ВнутреннийАйПи.
Посложнее, нужно настроить прокидывание 50 и 51 протокола и не помню какого-то еще порта, использующегося для синхронизации, обменом сессиоными ключами и еще чем-то на соответствующую машинку внутри.

На новом месте у нас используется нечто среднее - всего один адрес, на модеме проброс этого на адреса на внутренний, всего один сегмент АДСЛ_модем=сервер, у сервера вторая карточка на внутреннюю сеть. КЕРИО работает. АйПиСек мог бы и не заработать, он при бОльшей надежность более требователен, он может потребовать, чтоб шлюз не подменял адрес отправителя.
<networking> Поиск 






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach