VPN

Ing. Pavel PaJaSoft Janoušek janousek na fonet.cz
Čtvrtek Květen 27 09:56:06 CEST 2004 

> -----Original Message-----
> From: Petr Zapadlo [mailto:zapadlo na melzer.cz] 
> OpenVPN
> - bezproblemu chodi pres nat i zneverejne adresy

Jak se vypořádává s MiM útokem?

> IPSEC 
> problemy s provozem pres NAT, nutnost vytvaret nekolik tunelu 
> pro spojeni i 
> pouze dvou siti

	Není pravda - každé propojení sítí realizujete jedním tunelem.
Jinak se IPSEC co se týče funkcionality shoduje s Vaším popisem OpenVPN
... (až na drobné rozdíly)

> PPTP
> nepovedlo se mi uchodit do pouzitelneho - provozuschopneho stavu

	Certifikovaní odborníci MS tvrdí, že to nelze přes několik NATů
(Linuxových) protáhnout. Naopak jiní lidé tvrdí, že jim PPTP (nikoli
Terminal services - nezaměňovat!) takto funguje - mne osobně to čeká asi
tak za týden, mohu poreferovat... (zejména mi není jasné, jak bez
explicitního tunelování je tam možné protáhnout ten GRE; 1723 či kolik
via TCP je základní škola, bohužel to není vše)

	Pak jste ještě zapomněl na L2TP, který jsem i na Linuxu zkoušel
před několika lety jako zajímavou exotickou variantu a kupodivu to
fungovalo, dnešní stav neznám, neřeším...

> A je treba si uvedomit ze smb protokol neni staveny na pomale 
> site, prochazet 
> adresarovou strukturu na lince 64kb/s je pro sebevrahy.

	Možná ne přímo sdílet disky, ale pracovat v běžných IS na to
stavěných (třeba SAP) je celkem bezproblémové a měl bych i reference
včetně obvyklé centralizace ASP služeb (pošta, intranetový web apod.).

> From: Miroslav Petricek [mailto:mirek na petricek.cz] 
> Petr Zapadlo wrote:
> > CIPE 
> Klient na není nic moc, ale XP chodí (vyzkoušeno, používáno)

	Mohu se zeptat na původ tohoto klienta? Já jsem našel jednoho,
jehož vývoj skončil u WinNT, možná Win2000 a jeho poslední build je asi
tak 2.5 roku starý, pokud si dobře pamatuju (řešil jsem to shodou
okolností koncem minulého týdne)

> IPsec je průmyslový standard pro VPN. Nabízí nejvíc možnosti
> konfigurace, zabezpečení a interoperability. Nebránil bych
> se mu.

	Souhlas a když už prosím, tak bez NAT-traversal a v konfiguraci
AH+ESP s 3DES a MD5...jinak ten IPSEC v podstate ani nemusíte
nasazovat....

-------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)             FoNet, spol. s r. o.
Technicka podpora, Intranet/Internet     Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz         Tel.: +420  5  4324 4749
WWW:    http://WWW.FoNet.Cz/           E-mail: mailto:Info na FoNet.Cz
-------------------------------------------------------------------

Další informace o konferenci Linux