VPN
Ing. Pavel PaJaSoft Janoušek
janousek na fonet.cz
Čtvrtek Květen 27 09:56:06 CEST 2004
> -----Original Message-----
> From: Petr Zapadlo [mailto:zapadlo na melzer.cz]
> OpenVPN
> - bezproblemu chodi pres nat i zneverejne adresy
Jak se vypořádává s MiM útokem?
> IPSEC
> problemy s provozem pres NAT, nutnost vytvaret nekolik tunelu
> pro spojeni i
> pouze dvou siti
Není pravda - každé propojení sítí realizujete jedním tunelem.
Jinak se IPSEC co se týče funkcionality shoduje s Vaším popisem OpenVPN
... (až na drobné rozdíly)
> PPTP
> nepovedlo se mi uchodit do pouzitelneho - provozuschopneho stavu
Certifikovaní odborníci MS tvrdí, že to nelze přes několik NATů
(Linuxových) protáhnout. Naopak jiní lidé tvrdí, že jim PPTP (nikoli
Terminal services - nezaměňovat!) takto funguje - mne osobně to čeká asi
tak za týden, mohu poreferovat... (zejména mi není jasné, jak bez
explicitního tunelování je tam možné protáhnout ten GRE; 1723 či kolik
via TCP je základní škola, bohužel to není vše)
Pak jste ještě zapomněl na L2TP, který jsem i na Linuxu zkoušel
před několika lety jako zajímavou exotickou variantu a kupodivu to
fungovalo, dnešní stav neznám, neřeším...
> A je treba si uvedomit ze smb protokol neni staveny na pomale
> site, prochazet
> adresarovou strukturu na lince 64kb/s je pro sebevrahy.
Možná ne přímo sdílet disky, ale pracovat v běžných IS na to
stavěných (třeba SAP) je celkem bezproblémové a měl bych i reference
včetně obvyklé centralizace ASP služeb (pošta, intranetový web apod.).
> From: Miroslav Petricek [mailto:mirek na petricek.cz]
> Petr Zapadlo wrote:
> > CIPE
> Klient na není nic moc, ale XP chodí (vyzkoušeno, používáno)
Mohu se zeptat na původ tohoto klienta? Já jsem našel jednoho,
jehož vývoj skončil u WinNT, možná Win2000 a jeho poslední build je asi
tak 2.5 roku starý, pokud si dobře pamatuju (řešil jsem to shodou
okolností koncem minulého týdne)
> IPsec je průmyslový standard pro VPN. Nabízí nejvíc možnosti
> konfigurace, zabezpečení a interoperability. Nebránil bych
> se mu.
Souhlas a když už prosím, tak bez NAT-traversal a v konfiguraci
AH+ESP s 3DES a MD5...jinak ten IPSEC v podstate ani nemusíte
nasazovat....
-------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft) FoNet, spol. s r. o.
Technicka podpora, Intranet/Internet Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz Tel.: +420 5 4324 4749
WWW: http://WWW.FoNet.Cz/ E-mail: mailto:Info na FoNet.Cz
-------------------------------------------------------------------
Další informace o konferenci Linux