IPSec из локалки
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- проходил мимо
- Сообщения: 3
- Зарегистрирован: 2009-06-01 20:08:23
IPSec из локалки
Приветствую, уважаемые.
Натолкнулся на проблему прохода IPSec трафика из локальной сети наружу через шлюз FreeBSD 6.3 (natd+ipfw). Впрочем, и на 7.1 такая же проблема.
Файрволл открыт - allow all from any to any - но хитросделанный трафик не ходит и все тут...
Играться и смотреть на внутреннем и внешнем интерфейсе пакеты не могу - компутера, с как говорят Nortel-овской USB-железкой ike-ключем и спецсофтиной нету в распоряжении.
Проблема назрела - уже второй случай. Гугл ничего толкового не дал... Или не там ищу. Мож кто подскажет - как уговорить фрю выпустить виндового клиента наружу ?
Натолкнулся на проблему прохода IPSec трафика из локальной сети наружу через шлюз FreeBSD 6.3 (natd+ipfw). Впрочем, и на 7.1 такая же проблема.
Файрволл открыт - allow all from any to any - но хитросделанный трафик не ходит и все тут...
Играться и смотреть на внутреннем и внешнем интерфейсе пакеты не могу - компутера, с как говорят Nortel-овской USB-железкой ike-ключем и спецсофтиной нету в распоряжении.
Проблема назрела - уже второй случай. Гугл ничего толкового не дал... Или не там ищу. Мож кто подскажет - как уговорить фрю выпустить виндового клиента наружу ?
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: IPSec из локалки
нефига не понялИграться и смотреть на внутреннем и внешнем интерфейсе пакеты не могу - компутера, с как говорят Nortel-овской USB-железкой ike-ключем и спецсофтиной нету в распоряжении
а по русски?
-
- проходил мимо
Re: IPSec из локалки
Есть локальная сеть с открытым файрволлом.
Пришел клиент с ноутом. В ноут воткнута через USB какая-то девайсина для IKE-авторизации. К девайсине, естественно есть приблуда, которая инициирует соединение на удаленный сервер и производит там авторизацию. Приблуда с большой долей вероятности инициирует IPSec. Вот именно это соединение и не устанавливается.
Поскольку человек ушел ("но обещал вернуться"), а меня небыло на связи, то провести експеримент с отслеживанием пакетов на разных интерфесах в момент соединения не могу... Вот.
Общался с IT-дирехтуром из Москвы - он вообще ничего сказать по поводу типа соединения не может. Весь остальной трафик, как то http, vpn(pptp) и прочее из локалки бегает исправно.
Единственно что выудил в телефон, что используют 500 и 4500 порты.
Пришел клиент с ноутом. В ноут воткнута через USB какая-то девайсина для IKE-авторизации. К девайсине, естественно есть приблуда, которая инициирует соединение на удаленный сервер и производит там авторизацию. Приблуда с большой долей вероятности инициирует IPSec. Вот именно это соединение и не устанавливается.
Поскольку человек ушел ("но обещал вернуться"), а меня небыло на связи, то провести експеримент с отслеживанием пакетов на разных интерфесах в момент соединения не могу... Вот.
Общался с IT-дирехтуром из Москвы - он вообще ничего сказать по поводу типа соединения не может. Весь остальной трафик, как то http, vpn(pptp) и прочее из локалки бегает исправно.
Единственно что выудил в телефон, что используют 500 и 4500 порты.
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: IPSec из локалки
не занимайся ерундой
что то
как то
где то
прийдет человек и будешь разбираться
что то
как то
где то
прийдет человек и будешь разбираться
-
- проходил мимо
Re: IPSec из локалки
Будет поздно.
То что выяснил уже сейчас - IPSec - не работает из-за НАТа - однозначно.
Есть некий NAT Traversal - с помощью этой технологии, говорят НАТ проходится нормально. Вот сейчас в процессе изучения....
То что выяснил уже сейчас - IPSec - не работает из-за НАТа - однозначно.
Есть некий NAT Traversal - с помощью этой технологии, говорят НАТ проходится нормально. Вот сейчас в процессе изучения....
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: IPSec из локалки
айпишник ему реальный дайте
и по впн раздайте
и по впн раздайте
-
- проходил мимо
- Сообщения: 3
- Зарегистрирован: 2009-06-01 20:08:23
Re: IPSec из локалки
А вот тут я не понял. Если не сложно - объясните свою мысль
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: IPSec из локалки
айпи попросите для него у провайдера рельаный
и дайте ему доступ к инету в обход нату
и все
и не морочте голову себе
и дайте ему доступ к инету в обход нату
и все
и не морочте голову себе
-
- проходил мимо
- Сообщения: 3
- Зарегистрирован: 2009-06-01 20:08:23
Re: IPSec из локалки
Рад бы. Но вот таких у меня - придет не 1, а 7-10 человек минимум. Конференция у них... Адресов не напасешься - на один день. А дальше что с ними делать...
В общем одни вопросы...
В общем одни вопросы...
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: IPSec из локалки
тогда не морочь себе голову
пусть либо совтину дают
либо описание
либо сами пускай рассказывают как она работает - какие порты итд
а если ей нужно еще обратное прокидывание портов?
на всех ты не прокинешь
так что забудь
пусть либо совтину дают
либо описание
либо сами пускай рассказывают как она работает - какие порты итд
а если ей нужно еще обратное прокидывание портов?
на всех ты не прокинешь
так что забудь
-
- проходил мимо
Re: IPSec из локалки
Успокоил
Прокидывать ничего не нужно. Они юзают это через Пипл-неты и прочее подобное...
Прокидывать ничего не нужно. Они юзают это через Пипл-неты и прочее подобное...