информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыСетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Некоторые подробности по VPN на Kerio WinRoute 6.0 17.04.06 16:53  Число просмотров: 17288
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Поразбирался немного с субжем и мануалом к нему... Может, кому поможет.


IPSec-VPN через Kerio WinRoute 6.0

Судя по мануалу WinRoute не имеет средств для установления IPSec тунеля, но может работать с IPSec в режиме сквозного прохода (IPSec Pass-through).

Немного смыслового перевода из мануала к Kerio WinRoute 6.0

Функция IPSec Pass-through гарантирует полную функциональность существующих IPSec клиента и сервера после размещения WinRoute на интернет шлюзе.

Если IPSec клиент находится на интернет шлюзе с работающим WinRoute, он должен быть настроен так, чтобы использовать внешний IP адрес. Трафик такого клиента не транслируется NAT'ом и использование функции IPSec Pass-through для такого клиента не требуется.

Если IPSec клиент находится во внутренней (локальной) сети за WinRoute и не поддерживает функцию NAT Traversal, то на WinRoute для него необходимо включить функцию IPSec Pass-through. Такой IPSec клиент во внутренней сети может быть только один.

Если IPSec клиент находится во внутренней сети за WinRoute и поддерживает функцию NAT Traversal, то поддержку IPSec Pass-through на WinRoute необходимо отключить во избежании коллизий и настроить для его трафика служб IKE и IPSec трансляцию IP адреса на внешнем интерфейсе (NAT).

Если IPSec сервер находится на интернет шлюзе с работающим WinRoute, то он может использовать внешний IP адрес шлюза.

Если IPSec сервер находится во внутренней сети, то на WinRoute необходимо настроить мапирование служб IKE и IPSec с внешнего IP адреса интернет шлюза на IP адрес IPSec сервера во внутренней сети. Для каждого IPSec сервера во внутренней сети необходимо мапирование отдельного внешнего IP адреса интернет шлюза.

ПРИМЕЧАНИЕ: Для всех вышеперечисленных случаев, необходимо в правилах фильтрации WinRoute разрешить клиентам подключения к IPSec серверам по сервисам IKE и IPSec.


---------------------
SSL-VPN средствами Kerio WinRoute 6.0

При настройке VPN соединения на стороне сервера или клиента необходимо, чтобы DHCP клиент функционировал. Наличие в сети DHCP сервера не обязательно.

В поле "IP address assignment" настройки VPN сервера, к которому будут подключаться VPN клиенты и/или другие VPN серверы, задается свободная подсеть, отличная от внутренней, из которой будут назначаться IP адреса "Kerio VPN" соединению VPN сервера, а также подключившихся VPN клиентов и/или дальних конечных точек VPN тунеля.

Грабли №1:
При регистрации в DNS дальней коненой точки VPN соединения с VPN сервером, на DNS сервере будет зарегистрирован недоступный из внутренней сети IP адрес, что сделает бессмысленным разименование зарегистрированного имени в IP адрес. Этот IP адрес (обычно 169.254.*), назначенный "Kerio VPN" соединению DHCP клиентом, используется в качестве "внутренней стенки" VPN тунеля и делается недоступным из внутренней сети реализацией VPN соединения. Второй же IP адрес, назначнный "Kerio VPN" соединению VPN сервером, доступный из внутренней сети и использующийся как шлюз для маршрутизации трафика во внутреннюю сеть VPN сервера, не регистрируется в DNS сервере.
Если для установления VPN соединения используется Kerio VPN клиент, то проблему можно обойти. Для этого, после установления VPN соединения, командой "ipconfig /all" необходимо выяснить первый IP адрес, назначенный VPN соединению DHCP клиентом, и второй IP адрес, назначенный этому же соединению VPN сервером. Далее, вручную прописать протоколу TCP/IP в качестве первого IP адреса - адрес назначенный VPN сервером, в качестве второго IP адреса - адрес назначенный DHCP клиентом, а также, в соответствующем поле, указать IP адрес DNS сервера. В WinRoute необходимо привязать к подключенному пользователю, для которого производится настройка, внесенный вручную первый IP адрес - адрес шлюза во внутреннюю сеть VPN сервера.
<networking> Поиск 






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach