protaseis gia VPN

Alexandros Papadopoulos apapadop at alumni.carnegiemellon.edu
Mon Jul 26 11:05:56 EEST 2004


On Friday 16 July 2004 11:33, Christos Ricudis wrote:
> On Fri, 16 Jul 2004 10:54:59 +0300
>
> Alexandros Papadopoulos <apapadop at cmu.edu> wrote:
> > Οι λύσεις είναι διάφορες: OpenVPN, CIPE, FreeS/WAN (δεν
> > αργοπεθαίνει αυτό;)
>
> Oxi.

Χμ, και το http://www.freeswan.org/ending_letter.html ;

> >  και δεν ξέρω ποια είναι η καταλληλότερη για την περίπτωσή μου.
>
> H swsth lysh : IPSEC. Yparxoun 2 implementations, gia 2.4 kornhlio 8a
> xrhsimopoihseis to FreeS/WAN, ston 2.6 yparxei ena enallaktiko
> implementation based in KAME. Kata th gnwmh moy ta userland tools tou
> KAME einai poly pio eyxrhsta, kai glytwneis kai to mpalwma tou
> kornhliou. To FreeS/WAN einai pio dokimasmeno bebaia kai sou parexei
> kai Opportunistic Encryption, poy de mprokeitai na to xrhsimopoihseis
> pote :P
>
> H quick and dirty and it works lysh : vtun.sourceforge.net


Συμφωνώ πάνω στο ipsec, μιας και δε θέλω να φτιάξω κάτι μόνο και μόνο 
για να λύσω ένα πρόβλημα - θέλω να φτιάξω κάτι που θα δουλεύει για πολύ 
καιρό και πολύ εντατικά.

Το vtun δεν παίζει στο σενάριό μου, επειδή το remote μηχάνημα που θέλω 
να μπαίνει στο εταιρικό δίκτυο είναι M$ box. Σύντομα, πρόσβαση στο 
δίκτυό μας θα πρέπει να έχουν και 1-2 άλλα άτομα από άλλες τοποθεσίες, 
όλοι με M$ μηχανήματα, οπότε δεν είναι επιλογή το να τους πω να βάλουν 
από ένα linux gateway όλοι, ώστε να υπάρχει ένα linux<->linux VPN και 
να γίνεται routing για τα εκάστοτε subnets μέσω αυτού του tunnel.

Η πιο σωστή λύση για την περίπτωσή μου φαίνεται να είναι κάτι σαν αυτή 
που περιγράφεται εδώ: http://www.natecarlson.com/linux/ipsec-x509.php

Το κυρίως πρόβλημα που βλέπω είναι ότι η συγκεκριμένη λύση απαιτεί το 
VPN να τερματίζει πάνω στο gateway, και αυτό δε θέλω να το κάνω. 
Ιδανικό θα ήταν να μπορεί το VPN να περνάει το firewall (με κάποιον 
έξυπνο τρόπο του στυλ port knocking, όχι με μόνιμες τρύπες) και να 
τερματίζει πάνω σε ένα μηχάνημα του DMZ.

Μόλις έχω τα απαραίτητα εργαλεία (γραμμές, μηχανήματα κτλ) θα προσπαθήσω 
να στήσω τα παραπάνω, και να καταγράψω τη διαδικασία. Αν θέλει κανείς 
να ασχοληθεί με αυτό το setup μαζί μου για εκπαιδευτικούς σκοπούς, ας 
μου πει.

-Α




More information about the Linux-greek-users mailing list