Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
создать VPN 25.11.03 16:29 Число просмотров: 2325
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
Виндоус2000 что-то такое умеет, по крайней мере в свЯзи через мдем я видел опции шифрования трафика и возможности доступа к приватной сети. Поподробнее, пусть специалисты по Виндоусу расскажут.
Можно просто какой-нибудь АйПиСЕК взять.
Есдинственное, что Ваши представления о свЯзи паролей и ВПН несколько туманны. Обычно нужно просто ключиками махнуться (естественно открытыми), а симметричными узлы и сами периодически будут обмениваться.
|
|
<networking>
|
создать VPN 25.11.03 15:34
Автор: anton_Crok Статус: Незарегистрированный пользователь
|
Требуется создать VPN. Хостов будет не много, но разношерстные: win9x, NT4, W2k и может быть WinXP. Хочется обойтись программными средствами. Компьютеры находятся в разных сетях, поэтому, думается, ставить какие то софтиные на шлюзы смысла не имеет. Думаю на каждом компьютере должна стоять программа, шифрующая трафик в зависимости от адреса получателя.
Помогите плиз советом, что можно почитать на эту тему (может даже в сети…). Можно решить это стандартными средствами OS (думаю из-за Win9x нет)? Какие продукты можно использовать для этой цели. Проект больше учебный, поэтому варианты «пушкой по воробьям», только приветсвуются :).
Пока попался в руки только Cisco Secure VPN Client 1.2. Но я уже понял, что это старье жуткое, да и требует еще какое то ПО от Cisco. Что есть еще из этой серии?
|
|
PPTP 25.11.03 17:17
Автор: RazDolBai Статус: Member
|
попробуй субж
насколько я помню во всех версиях винды начиная с 98 есть возможность работы с этим видом ВПН-ки
|
|
создать VPN 25.11.03 16:29
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
Виндоус2000 что-то такое умеет, по крайней мере в свЯзи через мдем я видел опции шифрования трафика и возможности доступа к приватной сети. Поподробнее, пусть специалисты по Виндоусу расскажут.
Можно просто какой-нибудь АйПиСЕК взять.
Есдинственное, что Ваши представления о свЯзи паролей и ВПН несколько туманны. Обычно нужно просто ключиками махнуться (естественно открытыми), а симметричными узлы и сами периодически будут обмениваться.
|
| |
а чем конкретно? Я не понимаю как настроить это в чистой винде... 25.11.03 18:19
Автор: anton_Crok Статус: Незарегистрированный пользователь
|
> через мдем я видел опции шифрования трафика и возможности
> доступа к приватной сети. Поподробнее, пусть специалисты по
> Виндоусу расскажут.
Это есть, это я знаю. :) Но это не то что я хочу. Сформулирую по другому:
как связать 2-3 (или больше - не важно) компа в одном сегменте сети в VPN?
Хотя я уже и не уверен, что это можно назвать VPN...
Насколько я понял PPTP применимо при соединению по модему - тогда это подходит.
Так же, если я правильно понял литературу – устройство VPN ставят на шлюзе сети.
У меня это не актуально. То что я хочу, я думаю, скорее подходит по определение мобильного клиента VPN. Но и это не совсем точно моя ситуация.
Есть компьютер, работает в сети с остальными как обычно, а вот на компьютер sec_host по 80 порту, необходимо отсылать только в зашифрованном виде. Вся проблема, что такой компьютер будет один на сегмен и ставить ради него что то на шлюзе - не имеет смысла. Поэтому я и думаю о неком тонком клиенте, который будет располагаться на самой машине.
>Можно просто какой-нибудь АйПиСЕК взять.
Поподробней можно? IPSec? Я думал что это протокол… Меня же интересуют конкретные реализации. Или я тебя не так понял?
> Есдинственное, что Ваши представления о свЯзи паролей и ВПН
> несколько туманны. Обычно нужно просто ключиками махнуться
> (естественно открытыми), а симметричными узлы и сами
> периодически будут обмениваться.
Да, блин, в теории то я криптографию знаю… :) Но вот только не знаю какие продукты реализуют этот функционал.
Спасибо за ответ!
|
| | |
Вчера меня в очередной раз чуть не вырвало от этого Виндовса, а Вы мне опять про него. Я не понимаю почему спецы молчат - чиркнули бы пару строчек и все сразу понятно бы стало. 26.11.03 11:02
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 26.11.03 11:02 Количество правок: 1
|
> Это есть, это я знаю. :) Но это не то что я хочу.
> Сформулирую по другому:
> как связать 2-3 (или больше - не важно) компа в одном
> сегменте сети в VPN?
Теперь понятно - все писюки в одной локальной сетке. Просто обычно ВПН используется для объединения локальных сетей, имеющих выход в интернет, в одну единую сеть через публичную сеть.
> Хотя я уже и не уверен, что это можно назвать VPN...
Представим, что локалка - публичная сеть, а хосты - локалки.
> Насколько я понял PPTP применимо при соединению по
> модему - тогда это подходит.
> Так же, если я правильно понял литературу – устройство
> VPN ставят на шлюзе сети.
Это для слишком классического случая. В Вашем случае шлюз и будет Ваш писюк.
> У меня это не актуально. То что я хочу, я думаю, скорее
> подходит по определение мобильного клиента VPN. Но и это не
> совсем точно моя ситуация.
> Есть компьютер, работает в сети с остальными как обычно, а
> вот на компьютер sec_host по 80 порту, необходимо отсылать
> только в зашифрованном виде. Вся проблема, что такой
> компьютер будет один на сегмен и ставить ради него что то
> на шлюзе - не имеет смысла. Поэтому я и думаю о неком
> тонком клиенте, который будет располагаться на самой
> машине.
>
>
> >Можно просто какой-нибудь АйПиСЕК взять.
> Поподробней можно? IPSec? Я думал что это протокол… Меня же
> интересуют конкретные реализации. Или я тебя не так понял?
IPSec это и есть конкретная реализация. Наберите в Яндэксе и сходите по первой попавшейся (хотя бы на iXBT), там подробно и ссылки есть.
> Спасибо за ответ!
У нас стоит классическая схема (АйПиСек на шлюзе). Правда не под Виндовсом, а под Линуксом. Наша сеть 192.168.5.0, а шлюз проверяет, если ломлюсь на хост сети 192.168.6.0, то шифрует и через иНет на указанный хост. Если в любую другую сеть, то шлюз кидает не шифруя, куда надо.
У Вас также конфигуриться, только на локальном писюке. Стучитесь на родной адрес - напрямую без шифрации. Стучитесь на виртуальный адрес - шифруется и туда же. Стучитесь куда-то еще - на шлюз.
|
| | | |
И правда, скажите кто чем пользовался для подобных целей? 26.11.03 15:28
Автор: anton_Crok Статус: Незарегистрированный пользователь
Отредактировано 26.11.03 15:30 Количество правок: 1
|
> Представим, что локалка - публичная сеть, а хосты -
> локалки.
Хорошо, с этим вариантом все кажись понятно. Думаю PGPnet из PGP 7.03
Меня вполне устроит, хотя надо на него еще доки почитать.
Кто ни будь знает подобные клиенты? Можно и не бесплатные.
> устройство
> > VPN ставят на шлюзе сети.
> Это для слишком классического случая. В Вашем случае шлюз и
> будет Ваш писюк.
А теперь усложним ситуацию – хосты находятся в разных частных сетях, за NATом.
То бишь ни тот не другой реальных IP не имеют. Я правильно понимаю, что ситуация не редкая? Я не специалист, но подозреваю, что клиенты на машинах уже не настроишь, придется что-то ставить на шлюзы?
> Меня же
> > интересуют конкретные реализации. Или я тебя не так
> понял?
> IPSec это и есть конкретная реализация. Наберите в Яндэксе
> и сходите по первой попавшейся (хотя бы на iXBT), там
> подробно и ссылки есть.
Да, это помогло. Спасибо. :) Правда в основном все решения железные или далеко не под Винду. Наверное и правильно…
> У нас стоит классическая схема (АйПиСек на шлюзе). Правда
> не под Виндовсом, а под Линуксом.
Чем реализовано? Мне правда больше интересен вариант для Sun’а…
Есть ли клиенты для Линухов? Или идеологически правильней настраивать это на шлюзе?
> У Вас также конфигуриться, только на локальном писюке.
> Стучитесь на родной адрес - напрямую без шифрации.
> Стучитесь на виртуальный адрес - шифруется и туда же.
> Стучитесь куда-то еще - на шлюз.
Да, но если хосты расположены в разных сетях, то имхо это уже не проходит. Ибо по условию шифрование трафика должно производится только на один компьютер сети получателя.
Итак, вопрос в том, можно ли обойтись клиентами на машинах, если компьютеры не имеют реальных IP и находятся в разных сетях.
|
| | | | |
И правда, скажите кто чем пользовался для подобных целей? 27.11.03 11:06
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
> А теперь усложним ситуацию – хосты находятся в разных
> частных сетях, за NATом.
> То бишь ни тот не другой реальных IP не имеют. Я правильно
> понимаю, что ситуация не редкая? Я не специалист, но
> подозреваю, что клиенты на машинах уже не настроишь,
> придется что-то ставить на шлюзы?
НАТ, естественно, должен уметь (быть обучен) разруливать на уровне портов. То есть обрашения снаружи к одним портам прокидывать на на определенные внутренние адреса (может даже и на другие порты).
|
| | | | |
И правда, скажите кто чем пользовался для подобных целей? 26.11.03 18:00
Автор: lunc <Alexander Krizhanovsky> Статус: Member
|
> > Представим, что локалка - публичная сеть, а хосты -
> > локалки.
> Кто ни будь знает подобные клиенты? Можно и не бесплатные.
Мобильные клиенты для Windows поддерживаются, например, в Тропа Джет. Но здесь пока не IPSec, а свой протокол. Посмотрите еще Застава.
Насколько я понял, здесь вообщем и идет речь о мобильных клиентах - одиночных удаленных хостах с возможностью подключения к сети. Необязательно весь трафик должен шифроваться - это зависит от политики безопасности.
> Чем реализовано? Мне правда больше интересен вариант для
> Sun’а…
Тропа Джет пашет под Solaris.
> Да, но если хосты расположены в разных сетях, то имхо это
> уже не проходит. Ибо по условию шифрование трафика должно
> производится только на один компьютер сети получателя.
> Итак, вопрос в том, можно ли обойтись клиентами на
> машинах, если компьютеры не имеют реальных IP и находятся в
> разных сетях.
Тунелирование должно быть, IPSec'овские пакеты должны заворачиваться в свою очередь в еще одни пакеты.
|
| | | | | |
И правда, скажите кто чем пользовался для подобных целей? 27.11.03 10:55
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
> Тунелирование должно быть, IPSec'овские пакеты должны
> заворачиваться в свою очередь в еще одни пакеты.
А я слышал, что он весь шифрованый ТиСиПиАйПи трафик по другому протоколу кидает 50 и 51 соответственно. Заворачивать уж больно сложно.
|
| | | | |
И правда, скажите кто чем пользовался для подобных целей? 26.11.03 16:52
Автор: RazDolBai Статус: Member
|
а вот тогда возникает прроблема с IPSec - AH заголовки портятся NATоми VPN-ка не работает (хотя вроде бы MS это дело исправили своим кривым NATом). прямая дорога к PPTP )))
> А теперь усложним ситуацию – хосты находятся в разных
> частных сетях, за NATом.
> То бишь ни тот не другой реальных IP не имеют. Я правильно
> понимаю, что ситуация не редкая? Я не специалист, но
> подозреваю, что клиенты на машинах уже не настроишь,
> придется что-то ставить на шлюзы?
STFW. одним сокращением.
КУЧА продуктов
MPD, racoon ... в общем много
> Чем реализовано? Мне правда больше интересен вариант для
> Sun’а…
> Есть ли клиенты для Линухов? Или идеологически правильней
> настраивать это на шлюзе?
можно просто клиентами.
> Да, но если хосты расположены в разных сетях, то имхо это
> уже не проходит. Ибо по условию шифрование трафика должно
> производится только на один компьютер сети получателя.
> Итак, вопрос в том, можно ли обойтись клиентами на
> машинах, если компьютеры не имеют реальных IP и находятся в
> разных сетях.
|
| | | | | |
И правда, скажите кто чем пользовался для подобных целей? 27.11.03 11:02
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 27.11.03 11:03 Количество правок: 1
|
> а вот тогда возникает прроблема с IPSec - AH заголовки
> портятся NATоми VPN-ка не работает (хотя вроде бы MS это
> дело исправили своим кривым NATом). прямая дорога к PPTP
> )))
Ага наступали на эти грабли (и не только). Поковырялись "шлюзовщики" с тем, чтобы адрес отправителя не портился. У нас тут просто два шлюза - один местный/офисныый с АйПиСеком, другой глобальный - на все местные офисы, он-то и имеет внешний айпишник. Мало того от нас пакеты уходят с одного внешнего АйПи адреса, а приходить должны на другой. А этот АйПиСек еще и адресом пользуется для шифрования.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
