Tunel z pocitace do site

Dan Lukes dan at obluda.cz
Wed Sep 22 11:34:46 CEST 2004


Zbyněk Burget wrote:

> vymyslel jsem si nasledujici vec a netusim, je-li to vubec technicky mozne.
> struktura site je nasledujici:
> sluzebni pocitac (w2k)
>  firewall FBSD
>  firewall W2k
>  router FBSD
> moje vnitrni sit (172.16.0.0/32; alias 10.1.1.0/32)

> plnou kontrolu mam nad vsemi stroji, jedina sluzebni podminka je, ze na
> vnejsim firewallu MUSI (aspon zatim) bezet W2k.

> Je vubec tecnicky mozny takovy tunel?

	No, rozhodne to neni uplne jednoduche.

	W2k umi dva typy tunelu - IPSEC a PPTP. IPSEC je v tomto pripade
vyloucen kvuli prekladu. PPTP tunel by ale jit mel, za predpokladu, ze
oba firewally po ceste propusti GRE pakety a zvladne je i preklad
(ktery, jak jsem pochopil, delaji W2K - a tam nevim, jestli to umi).
Pokud ano, pak je to PPTP na strane klienta (Microsoft tomu rika snad
VPN dialup nebo tak nejak) a na strane FreeBSD doma mppd.

	Ono by teoreticky sel i ten IPSEC, ale muselo by to byt ve variante
"IPSEC over UDP" - a to WIndows samy o sobe neumi.

	Dalsi moznost je nenavazovat tunel z koncovych W2k, ale mezi FreeBSD
routery. Nicmene, tam neni situace prilis odlisna - znovu to bude PPTP
tunel (mppd na obou stranach) s tim, ze ho firewally musi propoustet
prislusnou komunikaci, nebo IPSEC over UDP.

						Dan


-- 
Dan Lukes,  SISAL, MFF UK  tel: +420 2 21914205, fax: +420 2 21914206
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz, dan at fio.cz





More information about the Users-l mailing list