VTUN

[antidot]

VTUN

יש למישו ניסיון עם VTUN בשילוב עם Static NAT בשני הצדדים ? המטרה היא לפתוח Tunnel של IP over IP כאשר יש בדרך Firewall ובשני הקצוות הראוטר מבצע Static NAT. השאלה היא יותר: איך ניתן לזהות את הTunnel בFirewall ולאפשר לו לעבור בלי לחשוף את הרשת. תודה מראש, Antid0t

 

[ezaton]

ה Vtun מספק ממשק

אתה יכול לאפשר טבלת ניתוב מלאה לממשק, עם הגדרות firewall כלפיו, כאילו היה ממשק DMZ או ממשק חיצוני. אתה יכול להריץ על זה NAT, SNAT וכל מה שעוד תרצה. פשוט עוד כרטיס רשת. Ez

 

[antidot]

--->

הFAQ שלהם טוען שהמוצר לא עובד עם CISCO... נשמע די אבסורדי. יש סיכוי שהכוונה לVPN של CISCO ? ואת הNAT מבצעים הראוטרים בשני הצדדים שזה קצת מסבך את הסיפור. יש שלוש תצורות למימוש: 1) VTun על אותו מחשב שיושב עליו firewall 2) VTun במקביל לfirewall (ערוץ הVPN לא עובר דרך firewall) 3) VTun מאחורי הfirewall יש המלצות ? עברתי על כל הבעד ונגד ואני עדיין לא סגור מה עדיף. את 2 אני שולל משיקולי אבטחה. עדיין מתלבט בין 1 ו3. המטרה היא ערוץ network-host (קצה אחד כמה תחנות, קצה שני מחשב בודד). שוב תודה, Antid0t

 

[ezaton]

שני דברים

1) אכן, אין תמיכה ב- VPN של cisco. זה מכאניזם עצמאי של מפתח ה Vtun. 2) הייתי הולך על אפשרות 1, ויוצר על זה ממשק (PPP (oE על הנתב, ומחבר אליו כך שגם אוכל לפלטר עליו (על כל *PPP), וגם לא תהיה לי פגיעות רשת פוטנציאלית דרך כניסה אחורית לרשת. Ez

 

[antidot]

--->

"די אבסורדי" - הכוונה הייתה שלא עובר דרך ראוטרים של CISCO. המפתח אגב עובד בקוואלקום. הערוץ יהיה מוצפן כך שלסנן אותו די בעיתי. זה לא מה שמדאיג אותי. חוץ מסינון יש סיבה לPPP ולא IP Over IP ? Antid0t

 

[ezaton]

למה לסנן אותו יהיה בעייתי?

אם הערוץ יוצא מהנתב, ומהווה PPP על הנתב, איזו בעיה יש לפלטר אותו? בצדדים הוא לא מוצפן, רק בתווך. אני לא סגור על היתרונות / חסרונות של PPPoE לעומת IPoIP. לדעתי קל יותר לנהל ממשקים משתנים (אם יהיו לך יותר ממשתמש יחיד) עם ממשקים שאינם eth, אלא PPP. דיעה אישית. מה היתרונות / חסרונות שמצאת? Ez

 

[antidot]

---->

תקו אותי אם אני טועה, אבל כפי שאני מבין הערוץ מוצפן בין השרת VTun לclient. הראוטר רואה רק את הערוץ המוצפן (מסתבר שזה יותר פשוט ממה שחשבתי - זה פורט קבוע). האמת לדעתי לעשות encapsulation נוסף ולעטוף את IP מוצפן לתוך PPP נראה לי overhead מיותר. אני סך הכל צריך להגיע למצב שמכמה קליינטים אפשר לגשת לתחנה מרוחקת. Antid0t

 

[maCr0T]

אני חושב שפעם נתקלתי באיזה

אלגוריתם שבשני המחשבים משנה לפי איזה סדר ולפי כמה פרמטרים את הפורט של הסטטיק NAT בשני המחשבים, שווה הסתכלות אם חיבים אבטחה.. maC

 

[antidot]

למה להסתבך ?

זה PORT קבוע. אפשר לעשות PAT וזהו... Antid0t

 

[maCr0T]

אמרת שיש לך סטטיק NAT נתון...

לא אמרת שאפשר לשנות... maC

 

[ezaton]

הנחתי שהשרת = הנתב = הפיירוול

ואם כך, אין בעיה לפלטר. כמו כן, אם הם לא שווים, אז יש לך פורט יחיד וידוע (שאתה יכול לשנות), ואתה יכול להריץ את זה דרך ה NAT שלך. אם הכותרת, אז הייתי משתמש ב PPP. אם לא, אז הייתי שוקל IP. ה overhead מינימאלי בשני המקרים. שווה לשקול, אגב, תעבורת UDP. פחות OH, ואם הקשר אמין, אז לא צפוייות בעיות. Ez

 

[antidot]

רשמתי לעצמי...

כנראה שזה יהיה TCP, יש רוחב פס + דחיסה. אבל נשווה ונראה. שוב תודה על העצות ושבת שלום. Antid0t

 

[ezaton]

יש דחיסה גם ל UDP

אם כי קצת פחות טובה (בהכרח), יש. Ez