přístup na VPN gateway skrz VPN :)

Petr Stehlik pstehlik na sophics.cz
Čtvrtek Září 8 21:42:00 CEST 2011 

Martin Kraus píše v Thu 08. 09. 2011 v 14:45 +0200:
> > > > > pripadne udelat source routing pro port 1723 pro pptp pres puvodni gateway a
> > > > > vse ostatni pres vpn.
> > 
> > mimochodem, nemam sajnu, jak to udelat. Dekuji za napovedu.
>  
> mno to asi bude trochu mene user friendly. musi se udelat pravidlo pres
> iptables, ktere markuje urcite pakety (tedy napriklad dstip:1723) a pak tyto
> pakety pres napriklad neco na zpusob

asi jsme zapomněli na to, že používám PPTP VPN, kde port 1723 moc
nefiguruje...

> > > protoze network manager je pro lidi co od pocitace ocekavaji browser, mail
> > 
> > vyborne, takze je i pro me. Porad mi nepripada nijak vyjimecne pustit si
> > VPN a pak pres http jit na firemni server a v domneni bezpecnosti tam
> > zadavat citlive udaje. Prece to "PN" ve VPN melo zajistit soukromou sit
> > mezi mym pocitacem a druhou stranou, ne?
> 
> nemuzete balit krabici samu do sebe. to proste nezle ani kdyz se vyvojar
> postavi na hlavu.

jak se psalo v jiné větvičce tohoto vlákna, úplně by mi stačilo, kdyby
zvolil odchozí adresu tu z toho VPN/pppd poolu a spolehl se na routing
na druhé straně tunelu. Pak by to nebyla krabice sama do sebe. Je to
dobře vidět z toho, že na sousední servery už jde tunelem z vnitřní IP
adresy v pohodě.

> a tedy je dulezite si uvedomit, ze vy pomoci vpn nechcete jit do firemni site
> ale na verejne rozhrani serveru.

ale chci tam přijít "zevnitř", ne z venku :)

> pptp vam tuneluje urcity ip prefix na jine misto
> v internetu a nahodou se take stane ze ho cestou sifruje. pokud chcete point-to-point
> sifrovani, od toho je ipsec v transportnim modu. ten vam poresi sifrovane
> spojeni mezi dvemi body.
> 
> je dobre pouzivat spravny nastroj na spravny problem, ne to bastlit a doufat,
> ze to nejak bude fungovat a pak se zlobit, ze to dela neco jineho, nez
> potrebuji.

problém je, jak "vsunout" svůj počítač t.č. mimo firmu "dovnitř" firemní
LAN. Nepotřebuji p-t-p šifrování ani náhodou. Věřím, že VPN používám ke
správnému účelu.
  
> a protoze toto se stava porad, tak je dobre si zvyknout mit veskery provoz
> sifrovany i ve firemnich sitich, tudiz ssh/https/imaps, ktere vytvari
> sifrovane ptp spojeni mezi klientem a serverem, takze je dost jedno kudy to
> jede.

Ano, ale já tento problém otevřel v konferenci proto, že používám Allow
>From 192.168.1.0/24 (na různých místech různých aplikací) a s VPN tohle
nefunguje (po té, co jsem přestal používat ty DNS views).

> osobne bych doporucoval mit oddelene zarizeni na vpn a server v dmz.

už na to myslím.

Díky

Petr

Další informace o konferenci Linux