Problematika VPN
Jan Kasprzak
kas na informatics.muni.cz
Pondělí Červenec 15 17:54:20 CEST 2002
Michal Ludvig wrote:
: Jan Kasprzak wrote:
: > Ja mam dobre zkusenosti s CIPE. Pokud potrebujete dynamicke
: >klienty s windows, pak asi nezbude nez pouzit PPTP nebo nejakou
: >implementaci
: >IPsec. Ale jina CIPE je dost dobre.
:
: Proc pouzivat "proprietalni" protokol CIPE (proprietalni v tom smyslu,
: ze to bezi jen na Linuxu a sem-tam je nejaka verze portovana na Win),
: kdyz existuje standardizovany, stabilni a siroce podporovany protokol
: IPsec? Nakonfigurovat IPsec neni tak slozite, jak se "mezi lidem" povida.
Pomerne zasadni vec je ze CIPE jede nad UDP, zatimco IPSec
pouziva (aspon v tunelovem rezimu) dalsi protokol 4. vrstvy. Cili je mozno
napriklad mit kazdy tunel na jinem portu a firewallovat to podle zdrojove
IP adresy a zdrojoveho portu, atd.
IPsec je podle me kanon na vrabce pokud potrebujete jen par
statickych tunelu. Navic IPsec (nebo aspon FreeS/Wan) je pomerne
podivny v tom, ze musite mit pro kazdou dvojici (leftsubnet, rightsubnet)
nakonfigurovany zvlastni tunel. Cili pro nasledujici konfiguraci
(centrala firmy z DMZ, pobocka firmy) musim mit nakonfigurovanych nekolik
tunelu:
Pobocka Centrala
5.6.7.9
[leftintranet]----[leftfw]---(internet)---[rightfw]-------[rightdmz]
10.0.2.0/24 10.0.2.1 1.2.3.4 5.6.7.1| 10.0.1.1 10.0.1.0/24
|
[rightintranet]
5.6.7.0/29
Pokud chci aby kazdy z kazdym komunikoval zasifrovane pokud
provoz prochazi pres leftfw i rightfw, musim mit ve FreeS/Wan tyto tunely:
10.0.1.0/24 <--> 10.0.2.0/24
1.2.3.4 <--> 10.0.1.0/24
5.6.7.9 <--> 10.0.2.0/24
10.0.2.0/24 <--> 5.6.7.0/29
1.2.3.4 <--> 5.6.7.0/29
(a to jsem urcite jeste na nejaky zapomnel :-)
Zatimco u CIPE vytvorim _jeden_ tunel, a co do neho staticky
naroutuju, to jde zasifrovane a hotovo. Kazdy tunel funguje jako zvlastni
interface, vypada to jasne a logicky.
Ja naopak tvrdim, ze pokud mate na obou stranach Linux, tak neni
duvod pouzivat IPsec protoze je to "too big hammer".
-Yenya
--
| Jan "Yenya" Kasprzak <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839 Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/ Czech Linux Homepage: http://www.linux.cz/ |
|----------- If you want the holes in your knowledge showing up -----------|
|----------- try teaching someone. -- Alan Cox -----------|
Další informace o konferenci Linux