Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Ilya Kulagin                         2:5020/871.18  16 Jun 2006  17:30:08
 To : Vitaly Ostapenko
 Subject : Шифрование трафика
 -------------------------------------------------------------------------------- 
 
 
  VO> Hу и каким образом настроить всё это не затрагивая natd?
 
 Просто не затрагивая. А именно, пакеты пропускать правилами ipfw allow и
 запрещать правилами ipfw deny. Без использования ipfw divert. Раутинг
 (net.inet.ip.forwarding) для natd всё равно включён. Уже. Должен был быть. По
 любому.
 
 Примечание. Пакет, летящий от 192.168.1.* к туннельному адресу любого из
 клиентов всё равно сперва зашифруется, затем инкапсулируется в другие пакеты,
 летящие уже от "freebsd" к "сетевому" адресу этого клиента. Поэтому natd и не
 нужен. Что пакетов 192.168* никто, кроме клиента и "freebsd" не увидит никогда и
 без оного natd.
 
 Примечание нумер два. У "клиента", таким образом, появляется два сетевых
 интерфейса - один, с адресом из Сети и дефолтным раутингом на него и второй, с
 адресом туннеля и раутингом в него только сети 192.168.1/24. Туннельные адреса
 рекомендую тоже давать из "серых" сетей. И из разных. Чтобы самому не путаться, 
 где чей. Сети 10/8 хватит очень на много клиентов, даже если её бить по /24.
 
  >>  Лично я сечас использую openvpn.
 
  VO> Так, что лучще openvpn или mpd+pptp
 
 Мне лично оказался лучше openvpn. О чём я, вроде, и написал.
 
 Примечание нумер три. Если весь обмен данными между "клиентами" и
 (одним-единственным) хостом внутри 192.168.1/24 идёт по TCP, устанавливаемому
 "клиентом", то можно не городить огород с VPN, а посредством, например, stunnel 
 затерминировать шифрованный траффик непосредственно на хосте-сервере. Тогда как 
 раз пригодится natd, а openvpn окажется нахрен не нужен. С natd просто - ipfw
 divert даёте только с двух внешних src-адресов, а остальные отправляются в deny.
 В исходной постановке было "шифрование между клиентом и freebsd", но почему-то я
 подумал, что Вы не этого хотели на самом деле. Пятница. Телепатический модуль
 активизируется.
 
 Примите уверение в совершеннейшем к Вам почтении
 /kiv
  quotd:  Кому-то мил портвейн, кому милей трава...
 
 --- kiv@work  [Престарелые алкоголики] [Иллюзорных судаков не существует!]
  * Origin: Moose 2:5020/871.18 (2:5020/871.18)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Шифрование трафика   Ilya Kulagin   16 Jun 2006 17:30:08 
 Re: Шифрование трафика   Vitaly Ostapenko   20 Jun 2006 12:44:33 
Архивное /ru.unix.bsd/39744492b3b5.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional