Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Некоторые подробности по VPN на Kerio WinRoute 6.0 17.04.06 16:53 Число просмотров: 17288
Автор: Den <Denis> Статус: The Elderman
|
Поразбирался немного с субжем и мануалом к нему... Может, кому поможет.
IPSec-VPN через Kerio WinRoute 6.0
Судя по мануалу WinRoute не имеет средств для установления IPSec тунеля, но может работать с IPSec в режиме сквозного прохода (IPSec Pass-through).
Немного смыслового перевода из мануала к Kerio WinRoute 6.0
Функция IPSec Pass-through гарантирует полную функциональность существующих IPSec клиента и сервера после размещения WinRoute на интернет шлюзе.
Если IPSec клиент находится на интернет шлюзе с работающим WinRoute, он должен быть настроен так, чтобы использовать внешний IP адрес. Трафик такого клиента не транслируется NAT'ом и использование функции IPSec Pass-through для такого клиента не требуется.
Если IPSec клиент находится во внутренней (локальной) сети за WinRoute и не поддерживает функцию NAT Traversal, то на WinRoute для него необходимо включить функцию IPSec Pass-through. Такой IPSec клиент во внутренней сети может быть только один.
Если IPSec клиент находится во внутренней сети за WinRoute и поддерживает функцию NAT Traversal, то поддержку IPSec Pass-through на WinRoute необходимо отключить во избежании коллизий и настроить для его трафика служб IKE и IPSec трансляцию IP адреса на внешнем интерфейсе (NAT).
Если IPSec сервер находится на интернет шлюзе с работающим WinRoute, то он может использовать внешний IP адрес шлюза.
Если IPSec сервер находится во внутренней сети, то на WinRoute необходимо настроить мапирование служб IKE и IPSec с внешнего IP адреса интернет шлюза на IP адрес IPSec сервера во внутренней сети. Для каждого IPSec сервера во внутренней сети необходимо мапирование отдельного внешнего IP адреса интернет шлюза.
ПРИМЕЧАНИЕ: Для всех вышеперечисленных случаев, необходимо в правилах фильтрации WinRoute разрешить клиентам подключения к IPSec серверам по сервисам IKE и IPSec.
---------------------
SSL-VPN средствами Kerio WinRoute 6.0
При настройке VPN соединения на стороне сервера или клиента необходимо, чтобы DHCP клиент функционировал. Наличие в сети DHCP сервера не обязательно.
В поле "IP address assignment" настройки VPN сервера, к которому будут подключаться VPN клиенты и/или другие VPN серверы, задается свободная подсеть, отличная от внутренней, из которой будут назначаться IP адреса "Kerio VPN" соединению VPN сервера, а также подключившихся VPN клиентов и/или дальних конечных точек VPN тунеля.
Грабли №1:
При регистрации в DNS дальней коненой точки VPN соединения с VPN сервером, на DNS сервере будет зарегистрирован недоступный из внутренней сети IP адрес, что сделает бессмысленным разименование зарегистрированного имени в IP адрес. Этот IP адрес (обычно 169.254.*), назначенный "Kerio VPN" соединению DHCP клиентом, используется в качестве "внутренней стенки" VPN тунеля и делается недоступным из внутренней сети реализацией VPN соединения. Второй же IP адрес, назначнный "Kerio VPN" соединению VPN сервером, доступный из внутренней сети и использующийся как шлюз для маршрутизации трафика во внутреннюю сеть VPN сервера, не регистрируется в DNS сервере.
Если для установления VPN соединения используется Kerio VPN клиент, то проблему можно обойти. Для этого, после установления VPN соединения, командой "ipconfig /all" необходимо выяснить первый IP адрес, назначенный VPN соединению DHCP клиентом, и второй IP адрес, назначенный этому же соединению VPN сервером. Далее, вручную прописать протоколу TCP/IP в качестве первого IP адреса - адрес назначенный VPN сервером, в качестве второго IP адреса - адрес назначенный DHCP клиентом, а также, в соответствующем поле, указать IP адрес DNS сервера. В WinRoute необходимо привязать к подключенному пользователю, для которого производится настройка, внесенный вручную первый IP адрес - адрес шлюза во внутреннюю сеть VPN сервера.
|
|
|