Tunel z pocitace do site
Dan Lukes
dan at obluda.cz
Wed Sep 22 11:34:46 CEST 2004
Zbyněk Burget wrote:
> vymyslel jsem si nasledujici vec a netusim, je-li to vubec technicky mozne.
> struktura site je nasledujici:
> sluzebni pocitac (w2k)
> firewall FBSD
> firewall W2k
> router FBSD
> moje vnitrni sit (172.16.0.0/32; alias 10.1.1.0/32)
> plnou kontrolu mam nad vsemi stroji, jedina sluzebni podminka je, ze na
> vnejsim firewallu MUSI (aspon zatim) bezet W2k.
> Je vubec tecnicky mozny takovy tunel?
No, rozhodne to neni uplne jednoduche.
W2k umi dva typy tunelu - IPSEC a PPTP. IPSEC je v tomto pripade
vyloucen kvuli prekladu. PPTP tunel by ale jit mel, za predpokladu, ze
oba firewally po ceste propusti GRE pakety a zvladne je i preklad
(ktery, jak jsem pochopil, delaji W2K - a tam nevim, jestli to umi).
Pokud ano, pak je to PPTP na strane klienta (Microsoft tomu rika snad
VPN dialup nebo tak nejak) a na strane FreeBSD doma mppd.
Ono by teoreticky sel i ten IPSEC, ale muselo by to byt ve variante
"IPSEC over UDP" - a to WIndows samy o sobe neumi.
Dalsi moznost je nenavazovat tunel z koncovych W2k, ale mezi FreeBSD
routery. Nicmene, tam neni situace prilis odlisna - znovu to bude PPTP
tunel (mppd na obou stranach) s tim, ze ho firewally musi propoustet
prislusnou komunikaci, nebo IPSEC over UDP.
Dan
--
Dan Lukes, SISAL, MFF UK tel: +420 2 21914205, fax: +420 2 21914206
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz, dan at fio.cz
More information about the Users-l
mailing list