IP tunel cez masquerading
Dan Bar
Daniel.Bar na seznam.cz
Pondělí Červenec 21 18:19:02 CEST 2003
Rybarik, Michal napsal(a):
> hello all,
>
> hladam riesenie, ako spojit tunelom stroj ktory je na verejnom internete
> so strojom, ktory je za maskaradou (pricom na ten maskaradovaci stroj
> nemam pristup). spojenie by malo byt "bezudrzbove", to znamena ked spadne
> jedna zo stran alebo nieco na trase, po obnoveni spojenia sa tunel opat
> rozchodi sam, bez zasahu (na stroj za nat-kom neexistuje zvonku ziadny
> pristup, port forward, alebo nieco take, spojenie musi byt iniciovane
> zvnutra. jediny pristup bude ten tunel a masina je na druhom konci republiky
> takze spolahlivost by sa _fakt_ zisla).
>
> behal som v podobnej situacii pokusne ppp over ssh, ale to sa imho po
> spadnuti spojenia nezotavi, a okrem toho, rad by som pouzil nejake na to
> navrhnute riesenie. ako prvy som pozeral ip-sec (frees/wan) ale pri nom
> sa v dokumentacii pise, ze cez NAT to chodit nebude, kedze NAT prepisuje
> adresy paketov a tym porusi ich integritu.
Jsem ve shodne situaci jako vy, a objevil existenci NAT-T patche (NAT
traversal patch), ktery vec resi. Otazka samozrejme jak spolehlive
(v.0.5). Trochu se nad tim rozmyslim, protoze se vlastne patchuje IP
susbsystem kernelu ...
Jinak je to tady:
http://www.freeswan.ca/code/super-freeswan/
"
Currently, Super FreeS/WAN includes the follow major patches:
* X.509 Digital Certificates
* RFC 2409 Port Selectors
* ALG 0.8.1 (All ciphers/hashes enabled as modules, inc 1DES)
* Notify/Delete SA
* NAT Traversal
* Dead Peer Detection (DPD IETF Draft)
"
resp. http://www.freeswan.ca/patches/
Osobne, pokud NAT-T patch funguje spolehlive, pak bych jej pouzil radeji
nez vec jako treba CIPE. Ciste proto, ze je to standard (IPSec) a
klienti jsou defaultne ve vsech Win produktech.
Dan
Další informace o konferenci Linux