přístup na VPN gateway skrz VPN :)
Martin Kraus
lists_mk na wujiman.net
Čtvrtek Září 8 14:45:47 CEST 2011
On Thu, Sep 08, 2011 at 11:22:21AM +0200, Petr Stehlik wrote:
> Martin Kraus píše v Čt 08. 09. 2011 v 08:59 +0200:
> > > > pripadne udelat source routing pro port 1723 pro pptp pres puvodni gateway a
> > > > vse ostatni pres vpn.
>
> mimochodem, nemam sajnu, jak to udelat. Dekuji za napovedu.
mno to asi bude trochu mene user friendly. musi se udelat pravidlo pres
iptables, ktere markuje urcite pakety (tedy napriklad dstip:1723) a pak tyto
pakety pres napriklad neco na zpusob
ip rule add to <dstip> fwmark <iptables_mark> pref 10000 table 180
smerovat skrze routovaci informace v tomto pripade v routovaci tabulce 180.
tam by tedy byla routa na vpn gateway, ktera by ve standardni routovaci
tabulce chybela. takze vse by bezelo pres defaultni routu do vpn krome paketu
na port 1723, ktery by bezel pres puvodni gateway.
> > > ale pročpak to neumí Network Manager sám od sebe?
>
> > protoze network manager je pro lidi co od pocitace ocekavaji browser, mail
>
> vyborne, takze je i pro me. Porad mi nepripada nijak vyjimecne pustit si
> VPN a pak pres http jit na firemni server a v domneni bezpecnosti tam
> zadavat citlive udaje. Prece to "PN" ve VPN melo zajistit soukromou sit
> mezi mym pocitacem a druhou stranou, ne?
nemuzete balit krabici samu do sebe. to proste nezle ani kdyz se vyvojar
postavi na hlavu.
a tedy je dulezite si uvedomit, ze vy pomoci vpn nechcete jit do firemni site
ale na verejne rozhrani serveru. pptp vam tuneluje urcity ip prefix na jine misto
v internetu a nahodou se take stane ze ho cestou sifruje. pokud chcete point-to-point
sifrovani, od toho je ipsec v transportnim modu. ten vam poresi sifrovane
spojeni mezi dvemi body.
je dobre pouzivat spravny nastroj na spravny problem, ne to bastlit a doufat,
ze to nejak bude fungovat a pak se zlobit, ze to dela neco jineho, nez
potrebuji.
> > > Tak, jak mi v tuto chvíli ta "VPN" funguje mi to přijde až nebezpečné -
> > > např. bych mohl nahodit VPN a jít telnetem na ten server v domnění, že
> > > jedu šifrovaným tunelem a přitom houby...
> >
> > od toho existuje ssh/https/imaps atd.
>
> viz vyse, tahle odpoved neni logicka, protoze pak VPN ztraci velkou cast
> smyslu, kdyz se mohou/musi pouzit zabezpecene protokoly.
vpn je zavadejici pojem. vpn je pouze tunel, ktery je sifrovany tak, aby se na
prenosove siti nedalo odchytnout, co se prenasi uvnitr tohoto tunelu. a vy se
nepripojujete na server pres vpn ale rovnou, coz neni chyba zadne vpn ale toho, ze
neni mozne aby paket poslal sam sebe tunelem, ktery sam vytvari.
a protoze toto se stava porad, tak je dobre si zvyknout mit veskery provoz
sifrovany i ve firemnich sitich, tudiz ssh/https/imaps, ktere vytvari
sifrovane ptp spojeni mezi klientem a serverem, takze je dost jedno kudy to
jede.
osobne bych doporucoval mit oddelene zarizeni na vpn a server v dmz.
mk
Další informace o konferenci Linux