Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
а чем конкретно? Я не понимаю как настроить это в чистой винде... 25.11.03 18:19 Число просмотров: 2111
Автор: anton_Crok Статус: Незарегистрированный пользователь
|
> через мдем я видел опции шифрования трафика и возможности > доступа к приватной сети. Поподробнее, пусть специалисты по > Виндоусу расскажут. Это есть, это я знаю. :) Но это не то что я хочу. Сформулирую по другому:
как связать 2-3 (или больше - не важно) компа в одном сегменте сети в VPN?
Хотя я уже и не уверен, что это можно назвать VPN...
Насколько я понял PPTP применимо при соединению по модему - тогда это подходит.
Так же, если я правильно понял литературу – устройство VPN ставят на шлюзе сети.
У меня это не актуально. То что я хочу, я думаю, скорее подходит по определение мобильного клиента VPN. Но и это не совсем точно моя ситуация.
Есть компьютер, работает в сети с остальными как обычно, а вот на компьютер sec_host по 80 порту, необходимо отсылать только в зашифрованном виде. Вся проблема, что такой компьютер будет один на сегмен и ставить ради него что то на шлюзе - не имеет смысла. Поэтому я и думаю о неком тонком клиенте, который будет располагаться на самой машине.
>Можно просто какой-нибудь АйПиСЕК взять.
Поподробней можно? IPSec? Я думал что это протокол… Меня же интересуют конкретные реализации. Или я тебя не так понял?
> Есдинственное, что Ваши представления о свЯзи паролей и ВПН > несколько туманны. Обычно нужно просто ключиками махнуться > (естественно открытыми), а симметричными узлы и сами > периодически будут обмениваться. Да, блин, в теории то я криптографию знаю… :) Но вот только не знаю какие продукты реализуют этот функционал.
Спасибо за ответ!
|
<networking>
|
создать VPN 25.11.03 15:34
Автор: anton_Crok Статус: Незарегистрированный пользователь
|
Требуется создать VPN. Хостов будет не много, но разношерстные: win9x, NT4, W2k и может быть WinXP. Хочется обойтись программными средствами. Компьютеры находятся в разных сетях, поэтому, думается, ставить какие то софтиные на шлюзы смысла не имеет. Думаю на каждом компьютере должна стоять программа, шифрующая трафик в зависимости от адреса получателя.
Помогите плиз советом, что можно почитать на эту тему (может даже в сети…). Можно решить это стандартными средствами OS (думаю из-за Win9x нет)? Какие продукты можно использовать для этой цели. Проект больше учебный, поэтому варианты «пушкой по воробьям», только приветсвуются :).
Пока попался в руки только Cisco Secure VPN Client 1.2. Но я уже понял, что это старье жуткое, да и требует еще какое то ПО от Cisco. Что есть еще из этой серии?
|
|
PPTP 25.11.03 17:17
Автор: RazDolBai Статус: Member
|
попробуй субж
насколько я помню во всех версиях винды начиная с 98 есть возможность работы с этим видом ВПН-ки
|
|
создать VPN 25.11.03 16:29
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
Виндоус2000 что-то такое умеет, по крайней мере в свЯзи через мдем я видел опции шифрования трафика и возможности доступа к приватной сети. Поподробнее, пусть специалисты по Виндоусу расскажут.
Можно просто какой-нибудь АйПиСЕК взять.
Есдинственное, что Ваши представления о свЯзи паролей и ВПН несколько туманны. Обычно нужно просто ключиками махнуться (естественно открытыми), а симметричными узлы и сами периодически будут обмениваться.
|
| |
а чем конкретно? Я не понимаю как настроить это в чистой винде... 25.11.03 18:19
Автор: anton_Crok Статус: Незарегистрированный пользователь
|
> через мдем я видел опции шифрования трафика и возможности > доступа к приватной сети. Поподробнее, пусть специалисты по > Виндоусу расскажут. Это есть, это я знаю. :) Но это не то что я хочу. Сформулирую по другому:
как связать 2-3 (или больше - не важно) компа в одном сегменте сети в VPN?
Хотя я уже и не уверен, что это можно назвать VPN...
Насколько я понял PPTP применимо при соединению по модему - тогда это подходит.
Так же, если я правильно понял литературу – устройство VPN ставят на шлюзе сети.
У меня это не актуально. То что я хочу, я думаю, скорее подходит по определение мобильного клиента VPN. Но и это не совсем точно моя ситуация.
Есть компьютер, работает в сети с остальными как обычно, а вот на компьютер sec_host по 80 порту, необходимо отсылать только в зашифрованном виде. Вся проблема, что такой компьютер будет один на сегмен и ставить ради него что то на шлюзе - не имеет смысла. Поэтому я и думаю о неком тонком клиенте, который будет располагаться на самой машине.
>Можно просто какой-нибудь АйПиСЕК взять.
Поподробней можно? IPSec? Я думал что это протокол… Меня же интересуют конкретные реализации. Или я тебя не так понял?
> Есдинственное, что Ваши представления о свЯзи паролей и ВПН > несколько туманны. Обычно нужно просто ключиками махнуться > (естественно открытыми), а симметричными узлы и сами > периодически будут обмениваться. Да, блин, в теории то я криптографию знаю… :) Но вот только не знаю какие продукты реализуют этот функционал.
Спасибо за ответ!
|
| | |
Вчера меня в очередной раз чуть не вырвало от этого Виндовса, а Вы мне опять про него. Я не понимаю почему спецы молчат - чиркнули бы пару строчек и все сразу понятно бы стало. 26.11.03 11:02
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 26.11.03 11:02 Количество правок: 1
|
> Это есть, это я знаю. :) Но это не то что я хочу. > Сформулирую по другому: > как связать 2-3 (или больше - не важно) компа в одном > сегменте сети в VPN?
Теперь понятно - все писюки в одной локальной сетке. Просто обычно ВПН используется для объединения локальных сетей, имеющих выход в интернет, в одну единую сеть через публичную сеть.
> Хотя я уже и не уверен, что это можно назвать VPN...
Представим, что локалка - публичная сеть, а хосты - локалки.
> Насколько я понял PPTP применимо при соединению по > модему - тогда это подходит. > Так же, если я правильно понял литературу – устройство > VPN ставят на шлюзе сети.
Это для слишком классического случая. В Вашем случае шлюз и будет Ваш писюк.
> У меня это не актуально. То что я хочу, я думаю, скорее > подходит по определение мобильного клиента VPN. Но и это не > совсем точно моя ситуация. > Есть компьютер, работает в сети с остальными как обычно, а > вот на компьютер sec_host по 80 порту, необходимо отсылать > только в зашифрованном виде. Вся проблема, что такой > компьютер будет один на сегмен и ставить ради него что то > на шлюзе - не имеет смысла. Поэтому я и думаю о неком > тонком клиенте, который будет располагаться на самой > машине. > > > >Можно просто какой-нибудь АйПиСЕК взять. > Поподробней можно? IPSec? Я думал что это протокол… Меня же > интересуют конкретные реализации. Или я тебя не так понял?
IPSec это и есть конкретная реализация. Наберите в Яндэксе и сходите по первой попавшейся (хотя бы на iXBT), там подробно и ссылки есть.
> Спасибо за ответ!
У нас стоит классическая схема (АйПиСек на шлюзе). Правда не под Виндовсом, а под Линуксом. Наша сеть 192.168.5.0, а шлюз проверяет, если ломлюсь на хост сети 192.168.6.0, то шифрует и через иНет на указанный хост. Если в любую другую сеть, то шлюз кидает не шифруя, куда надо.
У Вас также конфигуриться, только на локальном писюке. Стучитесь на родной адрес - напрямую без шифрации. Стучитесь на виртуальный адрес - шифруется и туда же. Стучитесь куда-то еще - на шлюз.
|
| | | |
И правда, скажите кто чем пользовался для подобных целей? 26.11.03 15:28
Автор: anton_Crok Статус: Незарегистрированный пользователь Отредактировано 26.11.03 15:30 Количество правок: 1
|
> Представим, что локалка - публичная сеть, а хосты - > локалки. Хорошо, с этим вариантом все кажись понятно. Думаю PGPnet из PGP 7.03
Меня вполне устроит, хотя надо на него еще доки почитать.
Кто ни будь знает подобные клиенты? Можно и не бесплатные.
> устройство > > VPN ставят на шлюзе сети. > Это для слишком классического случая. В Вашем случае шлюз и > будет Ваш писюк. А теперь усложним ситуацию – хосты находятся в разных частных сетях, за NATом.
То бишь ни тот не другой реальных IP не имеют. Я правильно понимаю, что ситуация не редкая? Я не специалист, но подозреваю, что клиенты на машинах уже не настроишь, придется что-то ставить на шлюзы?
> Меня же > > интересуют конкретные реализации. Или я тебя не так > понял? > IPSec это и есть конкретная реализация. Наберите в Яндэксе > и сходите по первой попавшейся (хотя бы на iXBT), там > подробно и ссылки есть. Да, это помогло. Спасибо. :) Правда в основном все решения железные или далеко не под Винду. Наверное и правильно…
> У нас стоит классическая схема (АйПиСек на шлюзе). Правда > не под Виндовсом, а под Линуксом. Чем реализовано? Мне правда больше интересен вариант для Sun’а…
Есть ли клиенты для Линухов? Или идеологически правильней настраивать это на шлюзе?
> У Вас также конфигуриться, только на локальном писюке. > Стучитесь на родной адрес - напрямую без шифрации. > Стучитесь на виртуальный адрес - шифруется и туда же. > Стучитесь куда-то еще - на шлюз. Да, но если хосты расположены в разных сетях, то имхо это уже не проходит. Ибо по условию шифрование трафика должно производится только на один компьютер сети получателя.
Итак, вопрос в том, можно ли обойтись клиентами на машинах, если компьютеры не имеют реальных IP и находятся в разных сетях.
|
| | | | |
И правда, скажите кто чем пользовался для подобных целей? 27.11.03 11:06
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
> А теперь усложним ситуацию – хосты находятся в разных > частных сетях, за NATом. > То бишь ни тот не другой реальных IP не имеют. Я правильно > понимаю, что ситуация не редкая? Я не специалист, но > подозреваю, что клиенты на машинах уже не настроишь, > придется что-то ставить на шлюзы?
НАТ, естественно, должен уметь (быть обучен) разруливать на уровне портов. То есть обрашения снаружи к одним портам прокидывать на на определенные внутренние адреса (может даже и на другие порты).
|
| | | | |
И правда, скажите кто чем пользовался для подобных целей? 26.11.03 18:00
Автор: lunc <Alexander Krizhanovsky> Статус: Member
|
> > Представим, что локалка - публичная сеть, а хосты - > > локалки. > Кто ни будь знает подобные клиенты? Можно и не бесплатные.
Мобильные клиенты для Windows поддерживаются, например, в Тропа Джет. Но здесь пока не IPSec, а свой протокол. Посмотрите еще Застава.
Насколько я понял, здесь вообщем и идет речь о мобильных клиентах - одиночных удаленных хостах с возможностью подключения к сети. Необязательно весь трафик должен шифроваться - это зависит от политики безопасности.
> Чем реализовано? Мне правда больше интересен вариант для > Sun’а…
Тропа Джет пашет под Solaris.
> Да, но если хосты расположены в разных сетях, то имхо это > уже не проходит. Ибо по условию шифрование трафика должно > производится только на один компьютер сети получателя. > Итак, вопрос в том, можно ли обойтись клиентами на > машинах, если компьютеры не имеют реальных IP и находятся в > разных сетях.
Тунелирование должно быть, IPSec'овские пакеты должны заворачиваться в свою очередь в еще одни пакеты.
|
| | | | | |
И правда, скажите кто чем пользовался для подобных целей? 27.11.03 10:55
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
> Тунелирование должно быть, IPSec'овские пакеты должны > заворачиваться в свою очередь в еще одни пакеты.
А я слышал, что он весь шифрованый ТиСиПиАйПи трафик по другому протоколу кидает 50 и 51 соответственно. Заворачивать уж больно сложно.
|
| | | | |
И правда, скажите кто чем пользовался для подобных целей? 26.11.03 16:52
Автор: RazDolBai Статус: Member
|
а вот тогда возникает прроблема с IPSec - AH заголовки портятся NATоми VPN-ка не работает (хотя вроде бы MS это дело исправили своим кривым NATом). прямая дорога к PPTP )))
> А теперь усложним ситуацию – хосты находятся в разных > частных сетях, за NATом. > То бишь ни тот не другой реальных IP не имеют. Я правильно > понимаю, что ситуация не редкая? Я не специалист, но > подозреваю, что клиенты на машинах уже не настроишь, > придется что-то ставить на шлюзы?
STFW. одним сокращением.
КУЧА продуктов
MPD, racoon ... в общем много
> Чем реализовано? Мне правда больше интересен вариант для > Sun’а… > Есть ли клиенты для Линухов? Или идеологически правильней > настраивать это на шлюзе?
можно просто клиентами.
> Да, но если хосты расположены в разных сетях, то имхо это > уже не проходит. Ибо по условию шифрование трафика должно > производится только на один компьютер сети получателя. > Итак, вопрос в том, можно ли обойтись клиентами на > машинах, если компьютеры не имеют реальных IP и находятся в > разных сетях.
|
| | | | | |
И правда, скажите кто чем пользовался для подобных целей? 27.11.03 11:02
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 27.11.03 11:03 Количество правок: 1
|
> а вот тогда возникает прроблема с IPSec - AH заголовки > портятся NATоми VPN-ка не работает (хотя вроде бы MS это > дело исправили своим кривым NATом). прямая дорога к PPTP > )))
Ага наступали на эти грабли (и не только). Поковырялись "шлюзовщики" с тем, чтобы адрес отправителя не портился. У нас тут просто два шлюза - один местный/офисныый с АйПиСеком, другой глобальный - на все местные офисы, он-то и имеет внешний айпишник. Мало того от нас пакеты уходят с одного внешнего АйПи адреса, а приходить должны на другой. А этот АйПиСек еще и адресом пользуется для шифрования.
|
|
|