přístup na VPN gateway skrz VPN :)
Petr Stehlik
pstehlik na sophics.cz
Čtvrtek Září 8 21:42:00 CEST 2011
Martin Kraus píše v Thu 08. 09. 2011 v 14:45 +0200:
> > > > > pripadne udelat source routing pro port 1723 pro pptp pres puvodni gateway a
> > > > > vse ostatni pres vpn.
> >
> > mimochodem, nemam sajnu, jak to udelat. Dekuji za napovedu.
>
> mno to asi bude trochu mene user friendly. musi se udelat pravidlo pres
> iptables, ktere markuje urcite pakety (tedy napriklad dstip:1723) a pak tyto
> pakety pres napriklad neco na zpusob
asi jsme zapomněli na to, že používám PPTP VPN, kde port 1723 moc
nefiguruje...
> > > protoze network manager je pro lidi co od pocitace ocekavaji browser, mail
> >
> > vyborne, takze je i pro me. Porad mi nepripada nijak vyjimecne pustit si
> > VPN a pak pres http jit na firemni server a v domneni bezpecnosti tam
> > zadavat citlive udaje. Prece to "PN" ve VPN melo zajistit soukromou sit
> > mezi mym pocitacem a druhou stranou, ne?
>
> nemuzete balit krabici samu do sebe. to proste nezle ani kdyz se vyvojar
> postavi na hlavu.
jak se psalo v jiné větvičce tohoto vlákna, úplně by mi stačilo, kdyby
zvolil odchozí adresu tu z toho VPN/pppd poolu a spolehl se na routing
na druhé straně tunelu. Pak by to nebyla krabice sama do sebe. Je to
dobře vidět z toho, že na sousední servery už jde tunelem z vnitřní IP
adresy v pohodě.
> a tedy je dulezite si uvedomit, ze vy pomoci vpn nechcete jit do firemni site
> ale na verejne rozhrani serveru.
ale chci tam přijít "zevnitř", ne z venku :)
> pptp vam tuneluje urcity ip prefix na jine misto
> v internetu a nahodou se take stane ze ho cestou sifruje. pokud chcete point-to-point
> sifrovani, od toho je ipsec v transportnim modu. ten vam poresi sifrovane
> spojeni mezi dvemi body.
>
> je dobre pouzivat spravny nastroj na spravny problem, ne to bastlit a doufat,
> ze to nejak bude fungovat a pak se zlobit, ze to dela neco jineho, nez
> potrebuji.
problém je, jak "vsunout" svůj počítač t.č. mimo firmu "dovnitř" firemní
LAN. Nepotřebuji p-t-p šifrování ani náhodou. Věřím, že VPN používám ke
správnému účelu.
> a protoze toto se stava porad, tak je dobre si zvyknout mit veskery provoz
> sifrovany i ve firemnich sitich, tudiz ssh/https/imaps, ktere vytvari
> sifrovane ptp spojeni mezi klientem a serverem, takze je dost jedno kudy to
> jede.
Ano, ale já tento problém otevřel v konferenci proto, že používám Allow
>From 192.168.1.0/24 (na různých místech různých aplikací) a s VPN tohle
nefunguje (po té, co jsem přestal používat ty DNS views).
> osobne bych doporucoval mit oddelene zarizeni na vpn a server v dmz.
už na to myslím.
Díky
Petr
Další informace o konferenci Linux