информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Все любят медСтрашный баг в WindowsПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Под Виндой вариант не проходит 02.01.06 11:30  Число просмотров: 3351
Автор: Klin Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Под Виндой вариант не проходит, из-за упертости вышестоящего..... (жераф большой - ему видней)...
Мне бы сориентироваться в последовательности действий, что надобно, и после чего.
Поставлю на машину FreeBSD 6.0, подниму VPN с помощью pptp 1.7.0, с настройкай DHCP, routed и ipfw разбираюсь.
<networking>
Безопасность :-\ 29.12.05 19:52  
Автор: Klin Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Начальству вздумалось, "обезопасить" внутреннюю сеть от проникновений из вне и ......

Ближе к делу: Пароль купили один (используеться VPN), очень уж дорогое подключение у провайдера и за каждый логин/пароль дерут $$$ . Шеф хочет чтобы на всех компах был инет, кто-то ему нашептал, что нужно ставить FreeBSD отдельно как шлюз. Даже комп прикупил с двумя сетевухами :-) . С FreeBSD вообщем знаком, но не знаю с чего начать, какие порты понадобяться (думал pptp для VPN, на внутренней сетевухе поднять DHCP, хотя компов у нас всего нечего 10, а что еще понадобиться?).

Самое главное: Каким образом это все реализовать, чтоб поменьше гемороя. К сожалению в инете накопапть мало что удалось, и спросить не у кого. Вот такой подарочек мне на Новый Год :-\ Буду признателен за помощь.
Под Виндой вариант не проходит 02.01.06 11:30  
Автор: Klin Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Под Виндой вариант не проходит, из-за упертости вышестоящего..... (жераф большой - ему видней)...
Мне бы сориентироваться в последовательности действий, что надобно, и после чего.
Поставлю на машину FreeBSD 6.0, подниму VPN с помощью pptp 1.7.0, с настройкай DHCP, routed и ipfw разбираюсь.
В Гугле на эту тему есть статейки... 29.12.05 22:04  
Автор: Skeeve [Moscow SubTeam] <Vladimir Medvedev> Статус: Elderman
Отредактировано 29.12.05 22:05  Количество правок: 1
<"чистая" ссылка>
> Самое главное: Каким образом это все реализовать, чтоб
> поменьше гемороя. К сожалению в инете накопапть мало что
> удалось, и спросить не у кого. Вот такой подарочек мне на
> Новый Год :-\ Буду признателен за помощь.

В Гугле на эту тему есть статейки, спроси "freebsd pptp vpn". Пару лет назад я мучался с подобной проблемой, настраивая линуксовый шлюз. Из "особых" проблем помню следующую.

Дефолтный размер MTU в VPN-сервере на Windows меньше 1500 (1360 что ли, не помню). А внутри локалки - 1500. В итоге, проходя через VPN большие пакеты фрагментируются. Само по себе это проблемы не вызывает, но вот провайдер провайдера у себя убивает фрагментированные пакеты. Пришлось воспользоваться "хаком" в iptables. Вот что там пишут:

TCPMSS
       This  target  allows to alter the MSS value of TCP SYN packets, to control the maximum size for that connection (usually
       limiting it to your outgoing interface's MTU minus 40).  Of course, it can only be used in conjunction with -p tcp.
       This target is used to overcome criminally braindead ISPs or servers which block ICMP Fragmentation Needed packets.  The
       symptoms  of  this  problem  are  that everything works fine from your Linux firewall/router, but machines behind it can
       never exchange large packets:
        1) Web browsers connect, then hang with no data received.
        2) Small mail works fine, but large emails hang.
        3) ssh works fine, but scp hangs after initial handshaking.
       Workaround: activate this option and add a rule to your firewall configuration like:
        iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN \
                    -j TCPMSS --clamp-mss-to-pmtu

---
Проблема все-таки, наверное, была не в "настройке линуксового... 30.12.05 10:43  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 30.12.05 10:47  Количество правок: 4
<"чистая" ссылка>
> В Гугле на эту тему есть статейки, спроси "freebsd pptp
> vpn". Пару лет назад я мучался с подобной проблемой,
> настраивая линуксовый шлюз. Из "особых" проблем помню
> следующую.

Проблема все-таки, наверное, была не в "настройке линуксового шлюза", а именно в "настройке шлюза, который "смотрит" наружу через ВПН".

> Дефолтный размер MTU в VPN-сервере на Windows меньше 1500
> (1360 что ли, не помню). А внутри локалки - 1500. В итоге,
> проходя через VPN большие пакеты фрагментируются. Само по
> себе это проблемы не вызывает, но вот провайдер провайдера
> у себя убивает фрагментированные пакеты. Пришлось
> воспользоваться "хаком" в iptables. Вот что там пишут:
У всех МТУ сократить что-ли?

ВПН можно организовать двумя способами - либо используя другой протокол, либо инкапсулируя пакеты. В последнем случае возможны варианты - либо уменьшается МТУ на размер заголовка, либо ВПН сам половинит большие пакеты на одном конце и склеивает на другом.
Если ВПН уменьшает МТУ, зачем тогда использовать другие протоколы, а это похоже имеет место быть.

Афтару совет - не пользовать то, что кто-то (не сильно грамотный, просто услышал где-то и повторив хотел сойти за умного) нашептал, а пользовать виндовый сервер.
+1 30.12.05 12:15  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
> Афтару совет - не пользовать то, что кто-то (не сильно
> грамотный, просто услышал где-то и повторив хотел сойти за
> умного) нашептал, а пользовать виндовый сервер.
А в качестве роутера\файервола использовать продукты фирмы Kerio
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach