IPSec из локалки

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
romka.az
проходил мимо
Сообщения: 3
Зарегистрирован: 2009-06-01 20:08:23

IPSec из локалки

Непрочитанное сообщение romka.az » 2009-06-01 20:23:32

Приветствую, уважаемые.

Натолкнулся на проблему прохода IPSec трафика из локальной сети наружу через шлюз FreeBSD 6.3 (natd+ipfw). Впрочем, и на 7.1 такая же проблема.
Файрволл открыт - allow all from any to any - но хитросделанный трафик не ходит и все тут...

Играться и смотреть на внутреннем и внешнем интерфейсе пакеты не могу - компутера, с как говорят Nortel-овской USB-железкой ike-ключем и спецсофтиной нету в распоряжении.

Проблема назрела - уже второй случай. Гугл ничего толкового не дал... Или не там ищу. Мож кто подскажет - как уговорить фрю выпустить виндового клиента наружу ? :)

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: IPSec из локалки

Непрочитанное сообщение paradox » 2009-06-01 21:51:33

Играться и смотреть на внутреннем и внешнем интерфейсе пакеты не могу - компутера, с как говорят Nortel-овской USB-железкой ike-ключем и спецсофтиной нету в распоряжении
нефига не понял
а по русски?

Гость
проходил мимо

Re: IPSec из локалки

Непрочитанное сообщение Гость » 2009-06-01 22:06:06

Есть локальная сеть с открытым файрволлом.
Пришел клиент с ноутом. В ноут воткнута через USB какая-то девайсина для IKE-авторизации. К девайсине, естественно есть приблуда, которая инициирует соединение на удаленный сервер и производит там авторизацию. Приблуда с большой долей вероятности инициирует IPSec. Вот именно это соединение и не устанавливается.

Поскольку человек ушел ("но обещал вернуться"), а меня небыло на связи, то провести експеримент с отслеживанием пакетов на разных интерфесах в момент соединения не могу... Вот.
Общался с IT-дирехтуром из Москвы - он вообще ничего сказать по поводу типа соединения не может. Весь остальной трафик, как то http, vpn(pptp) и прочее из локалки бегает исправно.

Единственно что выудил в телефон, что используют 500 и 4500 порты.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: IPSec из локалки

Непрочитанное сообщение paradox » 2009-06-01 22:10:51

не занимайся ерундой
что то
как то
где то


прийдет человек и будешь разбираться

Гость
проходил мимо

Re: IPSec из локалки

Непрочитанное сообщение Гость » 2009-06-01 22:39:21

Будет поздно.
То что выяснил уже сейчас - IPSec - не работает из-за НАТа - однозначно.

Есть некий NAT Traversal - с помощью этой технологии, говорят НАТ проходится нормально. Вот сейчас в процессе изучения....

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: IPSec из локалки

Непрочитанное сообщение paradox » 2009-06-01 22:42:33

айпишник ему реальный дайте
и по впн раздайте

romka.az
проходил мимо
Сообщения: 3
Зарегистрирован: 2009-06-01 20:08:23

Re: IPSec из локалки

Непрочитанное сообщение romka.az » 2009-06-01 22:56:27

А вот тут я не понял. Если не сложно - объясните свою мысль

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: IPSec из локалки

Непрочитанное сообщение paradox » 2009-06-01 22:58:34

айпи попросите для него у провайдера рельаный
и дайте ему доступ к инету в обход нату
и все
и не морочте голову себе

romka.az
проходил мимо
Сообщения: 3
Зарегистрирован: 2009-06-01 20:08:23

Re: IPSec из локалки

Непрочитанное сообщение romka.az » 2009-06-01 23:05:51

Рад бы. Но вот таких у меня - придет не 1, а 7-10 человек минимум. Конференция у них... Адресов не напасешься - на один день. А дальше что с ними делать...

В общем одни вопросы...

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: IPSec из локалки

Непрочитанное сообщение paradox » 2009-06-01 23:09:12

тогда не морочь себе голову
пусть либо совтину дают
либо описание
либо сами пускай рассказывают как она работает - какие порты итд

а если ей нужно еще обратное прокидывание портов?
на всех ты не прокинешь
так что забудь

Гость
проходил мимо

Re: IPSec из локалки

Непрочитанное сообщение Гость » 2009-06-01 23:42:36

Успокоил :)
Прокидывать ничего не нужно. Они юзают это через Пипл-неты и прочее подобное...