Problematika VPN

Jan Kasprzak kas na informatics.muni.cz
Pondělí Červenec 15 17:54:20 CEST 2002 

Michal Ludvig wrote:
: Jan Kasprzak wrote:
: >	Ja mam dobre zkusenosti s CIPE. Pokud potrebujete dynamicke
: >klienty s windows, pak asi nezbude nez pouzit PPTP nebo nejakou 
: >implementaci
: >IPsec. Ale jina CIPE je dost dobre.
: 
: Proc pouzivat "proprietalni" protokol CIPE (proprietalni v tom smyslu, 
: ze to bezi jen na Linuxu a sem-tam je nejaka verze portovana na Win), 
: kdyz existuje standardizovany, stabilni a siroce podporovany protokol 
: IPsec? Nakonfigurovat IPsec neni tak slozite, jak se "mezi lidem" povida.

	Pomerne zasadni vec je ze CIPE jede nad UDP, zatimco IPSec
pouziva (aspon v tunelovem rezimu) dalsi protokol 4. vrstvy. Cili je mozno
napriklad mit kazdy tunel na jinem portu a firewallovat to podle zdrojove
IP adresy a zdrojoveho portu, atd.

	IPsec je podle me kanon na vrabce pokud potrebujete jen par
statickych tunelu. Navic IPsec (nebo aspon FreeS/Wan) je pomerne
podivny v tom, ze musite mit pro kazdou dvojici (leftsubnet, rightsubnet)
nakonfigurovany zvlastni tunel. Cili pro nasledujici konfiguraci
(centrala firmy z DMZ, pobocka firmy) musim mit nakonfigurovanych nekolik
tunelu:

      Pobocka                                  Centrala
                                       5.6.7.9
[leftintranet]----[leftfw]---(internet)---[rightfw]-------[rightdmz]
10.0.2.0/24  10.0.2.1  1.2.3.4         5.6.7.1| 10.0.1.1  10.0.1.0/24
                                              |
                                       [rightintranet]
                                         5.6.7.0/29

	Pokud chci aby kazdy z kazdym komunikoval zasifrovane pokud
provoz prochazi pres leftfw i rightfw, musim mit ve FreeS/Wan tyto tunely:

10.0.1.0/24 <--> 10.0.2.0/24
1.2.3.4 <--> 10.0.1.0/24
5.6.7.9 <--> 10.0.2.0/24
10.0.2.0/24 <--> 5.6.7.0/29
1.2.3.4 <--> 5.6.7.0/29

(a to jsem urcite jeste na nejaky zapomnel :-)

	Zatimco u CIPE vytvorim _jeden_ tunel, a co do neho staticky
naroutuju, to jde zasifrovane a hotovo. Kazdy tunel funguje jako zvlastni
interface, vypada to jasne a logicky.

	Ja naopak tvrdim, ze pokud mate na obou stranach Linux, tak neni
duvod pouzivat IPsec protoze je to "too big hammer".

-Yenya

-- 
| Jan "Yenya" Kasprzak  <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839      Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/   Czech Linux Homepage: http://www.linux.cz/ |
|----------- If you want the holes in your knowledge showing up -----------|
|----------- try teaching someone.                  -- Alan Cox -----------|

Další informace o konferenci Linux