Microsoft VPN a source NAT
Jan Houstek
Jan.Houstek na mff.cuni.cz
Čtvrtek Říjen 13 22:53:35 CEST 2005
Peter Surda wrote:
> Za prve, aby to fungovalo riadne, potrebujes moduly (ip_conntrack_proto_gre,
> ip_conntrack_pptp, ip_nat_proto_gre, ip_nat_pptp).
>
> Za druhe, mari sa mi ze MS-PPTP ma nejake obmedzenia co sa tyka zdielania IP
> adries, ale mozno sa to tvojho pripadu netyka.
PPTP je zkriplene GRE a jeho mppe sifrovani neni az tak tezke napadnout.
Nefunguje rozumne pro klienty za NATem (coz je dnes bohuzel drtiva
vetsina koncovych zarizeni). Presneji receno, funguje, pokud je za
jednou adresou schovany jeden klient pristupujici ke konkretni IP.
Maji-li tu smulu, ze se ke serveru se stejnou IP snazi pristupovat dva
klienti za stejnou maskaradou, maji problem, protoze ten maskaradovaci
stroj typicky nevidi do vnitrnosti GRE protokolu a neumi ty dva klienty
odlisit.
Vrele doporucuju poridit si misto PPTP nejakou poradnou VPN, ktera bude
jednak rozumne bezpecna, a druhak bude dostatecne funkci v kontextu
toho, cemu se dnes mnozi nestydi rikat "internetova konektivita".
-- Honza Houstek
Další informace o konferenci Linux