forum.opennet.ru - "Все тот же Nat" (33)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Все тот же Nat"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Все тот же Nat"
Сообщение от kunaksergey (??) on 08-Июн-07, 14:22
Вобщем надо пробросить через Nat стоящий на роутере FreeBSD VPN-соеденение точка-точка, и использующее IpSec. пишут многое, чуть ли не создание VPN сервера. Кто знает-скиньте пример, там по-моему должно быть правило в natd.conf пропускающее gre протокол. В ядре IpSec включен.. вобщем помогите кто чем может. Плыз. не кидайте ссылки типа-"на, изучай",просто напишите: 1-то-то, 2-е то-то.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Все тот же Nat, DN, 14:55 , 08-Июн-07, (1)

Все тот же Nat, kunaksergey, 13:44 , 09-Июн-07, (2)

Все тот же Nat, universite, 14:01 , 09-Июн-07, (3)

Все тот же Nat, kunaksergey, 17:35 , 09-Июн-07, (4)
Все тот же Nat, kunaksergey, 17:36 , 09-Июн-07, (5)

Все тот же Nat, DN, 22:17 , 11-Июн-07, (6)

Все тот же Nat, kunaksergey, 01:03 , 12-Июн-07, (7)

Все тот же Nat, DN, 14:02 , 12-Июн-07, (8)

Все тот же Nat, kunaksergey, 15:47 , 12-Июн-07, (9)

Все тот же Nat, baton, 16:22 , 12-Июн-07, (10)

Все тот же Nat, kunaksergey, 16:28 , 12-Июн-07, (11)

Все тот же Nat, kunaksergey, 16:30 , 12-Июн-07, (12)

Все тот же Nat, DN, 20:14 , 12-Июн-07, (13)
Все тот же Nat, kunaksergey, 22:42 , 12-Июн-07, (14)
Все тот же Nat, Andrew, 23:17 , 12-Июн-07, (15)
Все тот же Nat, kunaksergey, 09:03 , 13-Июн-07, (16)
Все тот же Nat, DN, 11:43 , 13-Июн-07, (17)
Все тот же Nat, kunaksergey, 15:57 , 13-Июн-07, (18)
Все тот же Nat, DN, 16:20 , 13-Июн-07, (19)
Все тот же Nat, kunaksergey, 20:27 , 14-Июн-07, (20)
Все тот же Nat, DN, 00:48 , 15-Июн-07, (21)
Все тот же Nat, DN, 02:34 , 15-Июн-07, (22)

Все тот же Nat, гость, 13:52 , 15-Июн-07, (23)

Все тот же Nat, A Clockwork Orange, 14:17 , 15-Июн-07, (24)

Все тот же Nat, guest, 14:51 , 15-Июн-07, (25)

Все тот же Nat, kunaksergey, 15:05 , 15-Июн-07, (26)

Все тот же Nat, kunaksergey, 22:27 , 16-Июн-07, (27)

Все тот же Nat, kunaksergey, 11:32 , 18-Июн-07, (28)

Все тот же Nat, DN, 14:45 , 18-Июн-07, (29)

Все тот же Nat, kunaksergey, 16:40 , 18-Июн-07, (30)

Все тот же Nat, kunaksergey, 21:13 , 18-Июн-07, (31)
Все тот же Nat, DN, 21:58 , 18-Июн-07, (32)

Все тот же Nat, kunaksergey, 16:34 , 19-Июн-07, (33)

Сообщения по теме [Сортировка по времени, UBB]

1. "Все тот же Nat"

Сообщение от DN (ok) on 08-Июн-07, 14:55

>пишут многое, чуть ли не создание VPN сервера. Кто знает-скиньте пример,
>там по-моему должно быть правило в natd.conf пропускающее gre протокол. В ядре
>IpSec включен.. вобщем помогите кто чем может. Плыз. не кидайте ссылки
>типа-"на, изучай",просто напишите: 1-то-то, 2-е то-то.
...
N-то-то и оно же последнее: отправить переводом туда то, такую то сумму.
Шутка.
GRE (47) и IPSEC (50,51) - это разные протоколы .
И причем тут natd.conf?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Все тот же Nat"

Сообщение от kunaksergey (??) on 09-Июн-07, 13:44

>GRE (47) и IPSEC (50,51) - это разные протоколы .
>И причем тут natd.conf?
Это так сказать не мое- это советы пользователей форума, а я прошу четкий пример.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Все тот же Nat"

Сообщение от universite (??) on 09-Июн-07, 14:01

>>GRE (47) и IPSEC (50,51) - это разные протоколы .
>>И причем тут natd.conf?
>Это так сказать не мое- это советы пользователей форума, а я прошу
>четкий пример.
Телепаты в отпуске. Дайте больше параметров.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Все тот же Nat"

Сообщение от kunaksergey (??) on 09-Июн-07, 17:35

>Телепаты в отпуске. Дайте больше параметров.
внимательно стоит читать сначала и не флудить.
Что нужно что бы настроить VPN точка-точка через шлюз FreeBSD. VPN использует IpSec.
Допустим такие параметры:

одна точка IP-192.168.0.1
вторая точка-реальный адресс-xxx.xxx.xxx.xxx
Шлюз FreeBSD- внутренний адресс 192.168.0.2, внешний yyy.yyy.yyy.yyy
На FreeBSD стоит NAT и IPFW.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Все тот же Nat"

Сообщение от kunaksergey (??) on 09-Июн-07, 17:36

>Телепаты в отпуске. Дайте больше параметров.
внимательно стоит читать сначала и не флудить.
Что нужно что бы настроить VPN точка-точка через шлюз FreeBSD. VPN использует IpSec.
Допустим такие параметры:

одна точка IP-192.168.0.1
вторая точка-реальный адресс-xxx.xxx.xxx.xxx
Шлюз FreeBSD- внутренний адресс 192.168.0.2, внешний yyy.yyy.yyy.yyy
На FreeBSD стоит NAT и IPFW.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Все тот же Nat"

Сообщение от DN (ok) on 11-Июн-07, 22:17

>>Телепаты в отпуске. Дайте больше параметров.
>внимательно стоит читать сначала и не флудить.
Ни кто и не флудит.
>Что нужно что бы настроить VPN точка-точка через шлюз FreeBSD. VPN использует
>IpSec.
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html
Адаптируйте под Ваши нужны, и настройте по шагам.
Или сообщите, что у Вас конкретно не работает, какие симптомы?
То что Вы пишите ниже, совершенно недостаточно для решения вашей
проблемы. Нужна конкретность.
Еще раз, телепаты в отпуске.
>Допустим такие параметры:
>
>
>одна точка IP-192.168.0.1
>вторая точка-реальный адресс-xxx.xxx.xxx.xxx
>Шлюз FreeBSD- внутренний адресс 192.168.0.2, внешний yyy.yyy.yyy.yyy
>На FreeBSD стоит NAT и IPFW.
>
>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Все тот же Nat"

Сообщение от kunaksergey (??) on 12-Июн-07, 01:03

>http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html
>это руководство читал. Как адаптировать под себя незнаю.По этому и спрашиваю тут.
>То что Вы пишите ниже, совершенно недостаточно для решения вашей
>проблемы. Нужна конкретность.
Интересно, что конкретно еще нужно?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Все тот же Nat"

Сообщение от DN (ok) on 12-Июн-07, 14:02

>>http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html
>>это руководство читал. Как адаптировать под себя незнаю.По этому и спрашиваю тут.
>
>>То что Вы пишите ниже, совершенно недостаточно для решения вашей
>>проблемы. Нужна конкретность.
>Интересно, что конкретно еще нужно?
Если полностью использовать вариант, который представлен в документации,
необходимо добавить еще один приватный адрес на интерфейс второй машины.
Сделать правила IPFW, настроить isakmpd или racoon.
Можно все поднять в ручную через setkey без isakmpd или racoon.
Не знаю, что еще добавить к исчерпывающей документации.
Пишите, что у Вас конкретно не получиться.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Все тот же Nat"

Сообщение от kunaksergey (??) on 12-Июн-07, 15:47

Мне всего лишь нужно что бы мой шлюз пропустил VPN соеденение к VPN серверу. не более, мне не надо обьеденять сети и т.д

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Все тот же Nat"

Сообщение от baton (??) on 12-Июн-07, 16:22

нужно делать NAT для tcp/1723
и всех GRE(47) пакетов

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Все тот же Nat"

Сообщение от kunaksergey (??) on 12-Июн-07, 16:28

>нужно делать NAT для tcp/1723
>и всех GRE(47) пакетов

allow tcp from any to me 1723
allow gre from any to any
стоит

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Все тот же Nat"

Сообщение от kunaksergey (??) on 12-Июн-07, 16:30

где то читал что нужно сделать проброску в Nat
вот только чего?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Все тот же Nat"

Сообщение от DN (ok) on 12-Июн-07, 20:14

>где то читал что нужно сделать проброску в Nat
>вот только чего?
Уважаемый, Вы уж определитесь, какой VPN Вам нужен? :-(((
IPSEC (протокол 50,51) или PPTP (управляющий порт 1723)?
Разница - "как Божий дар и яичницей".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Все тот же Nat"

Сообщение от kunaksergey (??) on 12-Июн-07, 22:42

>>где то читал что нужно сделать проброску в Nat
>>вот только чего?
>
>Уважаемый, Вы уж определитесь, какой VPN Вам нужен? :-(((
>IPSEC (протокол 50,51) или PPTP (управляющий порт 1723)?
>Разница - "как Божий дар и яичницей".

Никогда не делал этого, поэтому какой протокол мне нужен я не знаю.Для этого в форуме и спрашиваю.
Повторяю. Есть сервер VPN-находится .хрен знает где и никто его не касается. Пользователю выдан:login,пароль и ключ IpSec. Пользователь на WinXp. Мне нужно разрешить прохождения трафика через мой роутер.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Все тот же Nat"

Сообщение от Andrew (??) on 12-Июн-07, 23:17

>>>где то читал что нужно сделать проброску в Nat
>>>вот только чего?
>>
>>Уважаемый, Вы уж определитесь, какой VPN Вам нужен? :-(((
>>IPSEC (протокол 50,51) или PPTP (управляющий порт 1723)?
>>Разница - "как Божий дар и яичницей".
>
>
>Никогда не делал этого, поэтому какой протокол мне нужен я не знаю.Для
>этого в форуме и спрашиваю.
>
>Повторяю. Есть сервер VPN-находится .хрен знает где и никто его не касается.
>Пользователю выдан:login,пароль и ключ IpSec. Пользователь на WinXp. Мне нужно разрешить
>прохождения трафика через мой роутер.
Коллега! Не парьтесь! Все очень тривиально. У меня тоже роутер на FreeBSD с NATом. Ничего на нем не настраивал кроме стандартного. Тем не менее хожу через него по VPN с WinXP уже который год куда заблагорассудится. :)
Понимаю конечно, что это ненормально. Но пока работает :)
Может не надо заморачиваться, а стоит один раз попробовать настроить как в хендбуке советуют?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Все тот же Nat"

Сообщение от kunaksergey (??) on 13-Июн-07, 09:03

>Коллега! Не парьтесь! Все очень тривиально. У меня тоже роутер на FreeBSD
>с NATом. Ничего на нем не настраивал кроме стандартного. Тем не
>менее хожу через него по VPN с WinXP уже который год
>куда заблагорассудится. :)
>Понимаю конечно, что это ненормально. Но пока работает :)
>Может не надо заморачиваться, а стоит один раз попробовать настроить как в
>хендбуке советуют?
Я еще раз говорю- я никогда VPN не настраивал(как IpSec точно работает незнаю). При подключении к удаленному серверу появляется сообщение: что-то вроде "протокол безопасности не синхронизирован"(дословно не помню,но если кому-то надо...). Поскольку удаленный сервер использует для подключения ключ IpSec-от думаю, что дело имено в редиректе последнего.
По поводу вашего VPN- скиньте пожалуйста свои настройки и описание.
Если вы иммеете ввиду настройки ipwf- от даже при открытом "allow all from any to any" соеденение не происходит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Все тот же Nat"

Сообщение от DN (ok) on 13-Июн-07, 11:43

>Я еще раз говорю- я никогда VPN не настраивал(как IpSec точно работает
>незнаю). При подключении к удаленному серверу появляется сообщение: что-то вроде "протокол
>безопасности не синхронизирован"(дословно не помню,но если кому-то надо...). Поскольку удаленный сервер
>использует для подключения ключ IpSec-от думаю, что дело имено в редиректе
>последнего.
Поставьте в IPFW allow esp from any to any для трафика IPSEC

ipfw show
tcpdump -n -i "интерфейс" 'esp'
Проконтролируйте трафик IPSEC по счетчикам пакетов и tcpdump.
Если пакеты ходят туда и обратно, то разбирайтесь с Win XP, ключами и т.д.
>По поводу вашего VPN- скиньте пожалуйста свои настройки и описание.
>Если вы иммеете ввиду настройки ipwf- от даже при открытом "allow all
>from any to any" соеденение не происходит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Все тот же Nat"

Сообщение от kunaksergey (??) on 13-Июн-07, 15:57

>
>Поставьте в IPFW allow esp from any to any для трафика IPSEC
>
до divert или после?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Все тот же Nat"

Сообщение от DN (ok) on 13-Июн-07, 16:20

:-)
Телепаты в отпуске.
>>Поставьте в IPFW allow esp from any to any для трафика IPSEC
>>
>до divert или после?
Естественно, esp трафик надо diver'ить на NAT.
Имейте ввиду, что серверная сторона должна понимать фишку NAT-T.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Все тот же Nat"

Сообщение от kunaksergey (??) on 14-Июн-07, 20:27

>>до divert или после?
>
>Естественно, esp трафик надо diver'ить на NAT.
>Имейте ввиду, что серверная сторона должна понимать фишку NAT-T.
За 19 сообщений я вытянул из Вас только одну полезную строчку:
>Поставьте в IPFW allow esp from any to any для трафика IPSEC
наверное трудно людям с вами работать :))))
к тому же я не знаю что такое NAT-T.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Все тот же Nat"

Сообщение от DN (ok) on 15-Июн-07, 00:48

>>>до divert или после?
>>
>>Естественно, esp трафик надо diver'ить на NAT.
>>Имейте ввиду, что серверная сторона должна понимать фишку NAT-T.
>За 19 сообщений я вытянул из Вас только одну полезную строчку:
Какие вопросы, такие ответы.
>>Поставьте в IPFW allow esp from any to any для трафика IPSEC
>наверное трудно людям с вами работать :))))
Возможно. Только я пытаюсь Вас заставить думать в
нужном направлении, а не сделать за Вас вашу работу. :-)
Вам еще раньше писали:
"Телепаты в отпуске. Дайте больше параметров."
>к тому же я не знаю что такое NAT-T.
А через Google ?
http://www.windowsecurity.com/articles/NAT-Traversal-Security.html
За ньюансами к DEBRA LITTLEJOHN SHINDER.
Извиняюсь, кнопки на вашей WinXP нажать не смогу.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Все тот же Nat"

Сообщение от DN (ok) on 15-Июн-07, 02:34

P.S.
http://lists.freebsd.org/pipermail/freebsd-net/2006-September/011786.html
Еще можно поискать ссылку NAT-T FreeBSD patch.
Работает ли это не в курсе.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Все тот же Nat"

Сообщение от гость on 15-Июн-07, 13:52

>одна точка IP-192.168.0.1
>вторая точка-реальный адресс-xxx.xxx.xxx.xxx
>Шлюз FreeBSD- внутренний адресс 192.168.0.2, внешний yyy.yyy.yyy.yyy
>На FreeBSD стоит NAT и IPFW.
>...
>Пользователю выдан:login,пароль и ключ IpSec. Пользователь на WinXp.
Я так понимаю, что использоваться будет L2TP IPSEC VPN на WinXP, следовательно, от шлюза нам может потребоваться только то, чтобы он пропускал весь наш трафик.
1. Сначала нужно настроить туннель IPSec в Windows (используется ключ IPSec)
-вникаем в http://support.microsoft.com/kb/818043/ru, ключ к решению AssumeUDPEncapsulationContextOnSendRule
-ищем как настраивается IPSec в виндовсе.
2. Настроить VPN соединение L2TP (используется логин, пароль)
- здесь всё элементарно.
ЗЫ Это кстати не единственный способ, но более простой.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Все тот же Nat"

Сообщение от A Clockwork Orange on 15-Июн-07, 14:17

мужик ты прочитал чо он хочет?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Все тот же Nat"

Сообщение от guest (??) on 15-Июн-07, 14:51

>мужик ты прочитал чо он хочет?
Читал, а собственно в чём проблема?
Клиент настраивает у себя как выше описано, а на шлюзе ОБЫЧНЫЙ НАТ.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Все тот же Nat"

Сообщение от kunaksergey (??) on 15-Июн-07, 15:05

>1. Сначала нужно настроить туннель IPSec в Windows (используется ключ IPSec)
>-вникаем в http://support.microsoft.com/kb/818043/ru, ключ к решению >AssumeUDPEncapsulationContextOnSendRule
>-ищем как настраивается IPSec в виндовсе.
>2. Настроить VPN соединение L2TP (используется логин, пароль)
>- здесь всё элементарно.
>ЗЫ Это кстати не единственный способ, но более простой.
1.Насчет первого- думаю что особо не надо. Поскольку давно настроено и работает, только использует соеденение не через роутер, а через модем.
2. Настроить VPN соединение L2TP (используется логин, пароль)-тут не понятно.Зачем шлюзу логин и пароль. Если для преобразования пакета от пользователя winxp, то тогда шлюзу необходим также ключ IpSec пользователя.
И вообще я мало себе представляю работу например большей компании, где VPN наружу- достаточное количество. Каждое прописывать что ли у себя на роутере?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Все тот же Nat"

Сообщение от kunaksergey (??) on 16-Июн-07, 22:27

+

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Все тот же Nat"

Сообщение от kunaksergey (??) on 18-Июн-07, 11:32

При добавлении правила в ipfw add allow esp from any to any - пишет ошибка согласования L2TP. Помогите плыз

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Все тот же Nat"

Сообщение от DN (ok) on 18-Июн-07, 14:45

>При добавлении правила в ipfw add allow esp from any to any
>- пишет ошибка согласования L2TP. Помогите плыз
Возможно, UDP порты 4500,500,10000 или 1701 не открыты.
Возможно это правило (ipfw add allow esp from any to any)
Вам и не понадобится.
Все зависит от того, как реально у Вас все организовано.
Sorry , может это будет в тему.
http://support.microsoft.com/kb/885407/
http://support.microsoft.com/default.aspx?scid=kb;en-us;818043
http://www.faqs.org/rfcs/rfc3193.html
--
Не тепат.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Все тот же Nat"

Сообщение от kunaksergey (??) on 18-Июн-07, 16:40

>>При добавлении правила в ipfw add allow esp from any to any
>>- пишет ошибка согласования L2TP. Помогите плыз
>
>Возможно, UDP порты 4500,500,10000 или 1701 не открыты.
>
>Возможно это правило (ipfw add allow esp from any to any)
>Вам и не понадобится.
>Все зависит от того, как реально у Вас все организовано.
>
>Sorry , может это будет в тему.
>http://support.microsoft.com/kb/885407/
>http://support.microsoft.com/default.aspx?scid=kb;en-us;818043
>http://www.faqs.org/rfcs/rfc3193.html
>
>--
>Не тепат.
В башке моей уже каша. Подправте пожалуйста.
1. Для построения мне нужен IpSec- транспортный режим.
2. Для соеденения с удаленным VPN сервером нужны открытые UDP порты.
(ставлю add allow udp from any to any до строчки divert natd).Хотя каким образом тогда локальный комп с локальной сети выйдет в инетв обход нату.
3. Следующий вариант. При обычном NAT конечные точки туннеля не смогут договориться о ключах и параметрах ESP, так как пакеты ISAKMP, в общем случае, через NAT/файрволл не проходят и требуется NAT-T. Для Nat-T вычитал нужны патчи.Сможите ли мне что-то посоветовать.
4. Использование mpd в качестве L2TP сервера. Везде приводится пример с использованием racoon.Но как я говорил ключ к VPN у меня есть и генерировать их ненадо.
5. Встречал пример типа:
add 10.1.1.1 20.1.1.1 esp 9876 -E 3des-cbc "hogehogehogehogehogehoge";
add 20.1.1.1 10.1.1.1 esp 10000 -E 3des-cbc 0xdeadbeefdeadbeefdeadbeefdeadbeef;
spdadd 10.1.1.1 20.1.1.1 any -P out ipsec esp/transport//use;
Для работы в транспортном режиме. Не знаю нужно ли мне это.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Все тот же Nat"

Сообщение от kunaksergey (??) on 18-Июн-07, 21:13

+

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "Все тот же Nat"

Сообщение от DN (ok) on 18-Июн-07, 21:58

>1. Для построения мне нужен IpSec- транспортный режим.
Нужен обычно туннельный (ESP протокол).
Транспортный (AH протокол) используют, чтобы пакеты по пути нельзя было
изменить. Еще применяют ESP , а затем AH.
>2. Для соеденения с удаленным VPN сервером нужны открытые UDP порты.
>(ставлю add allow udp from any to any до строчки divert natd).Хотя
>каким образом тогда локальный комп с локальной сети выйдет в инетв
>обход нату.
Да, нужны открытые UDP порты, но через NAT.
>3. Следующий вариант. При обычном NAT конечные точки туннеля не смогут договориться
>о ключах и параметрах ESP, так как пакеты ISAKMP, в общем
>случае, через NAT/файрволл не проходят и требуется NAT-T. Для Nat-T вычитал
>нужны патчи.Сможите ли мне что-то посоветовать.
Для IKE (ISAKMP) NAT Traversal - это инкапсуляция в UDP  (4500 порт по default,
для cisco 10000 порт).
http://www.ietf.org/rfc/rfc3947.txt
Для ESP - это инкапсуляция ESP в UDP  (4500 порт по default,
для cisco 10000 порт).
http://www.ietf.org/rfc/rfc3948.txt
Вот статейка, даст Вам ответы.
http://www.lghost.ru/lib/samag/content/2003/samag_03_4/samag3(4)-22-24.pdf
А вот, какие части протокола IPSEC и NAT-T Вы будете использовать
на машине WinXP, а какие на шлюзах, решать Вам.
Что там в XP реализовано, я не знаю.
>5. Встречал пример типа:
>add 10.1.1.1 20.1.1.1 esp 9876 -E 3des-cbc "hogehogehogehogehogehoge";
>add 20.1.1.1 10.1.1.1 esp 10000 -E 3des-cbc 0xdeadbeefdeadbeefdeadbeefdeadbeef;
>spdadd 10.1.1.1 20.1.1.1 any -P out ipsec esp/transport//use;
>Для работы в транспортном режиме. Не знаю нужно ли мне это.
Думаю, нет. Здесь мануальные ключи для ESP (man setkey) , а не ISAKMP.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Все тот же Nat"

Сообщение от kunaksergey (??) on 19-Июн-07, 16:34

Спасибо за мучения-все сделал.
Esp ненужно было. Нужно было пропустить тока UDP 1701 4500 и 500

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Все тот же Nat"
Сообщение от DN (ok) on 08-Июн-07, 14:55
>пишут многое, чуть ли не создание VPN сервера. Кто знает-скиньте пример, >там по-моему должно быть правило в natd.conf пропускающее gre протокол. В ядре >IpSec включен.. вобщем помогите кто чем может. Плыз. не кидайте ссылки >типа-"на, изучай",просто напишите: 1-то-то, 2-е то-то. ... N-то-то и оно же последнее: отправить переводом туда то, такую то сумму. Шутка. GRE (47) и IPSEC (50,51) - это разные протоколы . И причем тут natd.conf?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Все тот же Nat"
	Сообщение от kunaksergey (??) on 09-Июн-07, 13:44
	>GRE (47) и IPSEC (50,51) - это разные протоколы . >И причем тут natd.conf? Это так сказать не мое- это советы пользователей форума, а я прошу четкий пример.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Все тот же Nat"
	Сообщение от universite (??) on 09-Июн-07, 14:01
	>>GRE (47) и IPSEC (50,51) - это разные протоколы . >>И причем тут natd.conf? >Это так сказать не мое- это советы пользователей форума, а я прошу >четкий пример. Телепаты в отпуске. Дайте больше параметров.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Все тот же Nat"
	Сообщение от kunaksergey (??) on 09-Июн-07, 17:35
	>Телепаты в отпуске. Дайте больше параметров. внимательно стоит читать сначала и не флудить. Что нужно что бы настроить VPN точка-точка через шлюз FreeBSD. VPN использует IpSec. Допустим такие параметры: одна точка IP-192.168.0.1 вторая точка-реальный адресс-xxx.xxx.xxx.xxx Шлюз FreeBSD- внутренний адресс 192.168.0.2, внешний yyy.yyy.yyy.yyy На FreeBSD стоит NAT и IPFW.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Все тот же Nat"
	Сообщение от kunaksergey (??) on 09-Июн-07, 17:36
	>Телепаты в отпуске. Дайте больше параметров. внимательно стоит читать сначала и не флудить. Что нужно что бы настроить VPN точка-точка через шлюз FreeBSD. VPN использует IpSec. Допустим такие параметры: одна точка IP-192.168.0.1 вторая точка-реальный адресс-xxx.xxx.xxx.xxx Шлюз FreeBSD- внутренний адресс 192.168.0.2, внешний yyy.yyy.yyy.yyy На FreeBSD стоит NAT и IPFW.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Все тот же Nat"
	Сообщение от DN (ok) on 11-Июн-07, 22:17
	>>Телепаты в отпуске. Дайте больше параметров. >внимательно стоит читать сначала и не флудить. Ни кто и не флудит. >Что нужно что бы настроить VPN точка-точка через шлюз FreeBSD. VPN использует >IpSec. http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html Адаптируйте под Ваши нужны, и настройте по шагам. Или сообщите, что у Вас конкретно не работает, какие симптомы? То что Вы пишите ниже, совершенно недостаточно для решения вашей проблемы. Нужна конкретность. Еще раз, телепаты в отпуске. >Допустим такие параметры: > > >одна точка IP-192.168.0.1 >вторая точка-реальный адресс-xxx.xxx.xxx.xxx >Шлюз FreeBSD- внутренний адресс 192.168.0.2, внешний yyy.yyy.yyy.yyy >На FreeBSD стоит NAT и IPFW. > >
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Все тот же Nat"
	Сообщение от kunaksergey (??) on 12-Июн-07, 01:03
	>http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html >это руководство читал. Как адаптировать под себя незнаю.По этому и спрашиваю тут. >То что Вы пишите ниже, совершенно недостаточно для решения вашей >проблемы. Нужна конкретность. Интересно, что конкретно еще нужно?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Все тот же Nat"
	Сообщение от DN (ok) on 12-Июн-07, 14:02
	>>http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html >>это руководство читал. Как адаптировать под себя незнаю.По этому и спрашиваю тут. > >>То что Вы пишите ниже, совершенно недостаточно для решения вашей >>проблемы. Нужна конкретность. >Интересно, что конкретно еще нужно? Если полностью использовать вариант, который представлен в документации, необходимо добавить еще один приватный адрес на интерфейс второй машины. Сделать правила IPFW, настроить isakmpd или racoon. Можно все поднять в ручную через setkey без isakmpd или racoon. Не знаю, что еще добавить к исчерпывающей документации. Пишите, что у Вас конкретно не получиться.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Все тот же Nat"
	Сообщение от kunaksergey (??) on 12-Июн-07, 15:47
	Мне всего лишь нужно что бы мой шлюз пропустил VPN соеденение к VPN серверу. не более, мне не надо обьеденять сети и т.д
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Все тот же Nat"
	Сообщение от baton (??) on 12-Июн-07, 16:22
	нужно делать NAT для tcp/1723 и всех GRE(47) пакетов
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Все тот же Nat"
	Сообщение от kunaksergey (??) on 12-Июн-07, 16:28
	>нужно делать NAT для tcp/1723 >и всех GRE(47) пакетов allow tcp from any to me 1723 allow gre from any to any стоит
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Все тот же Nat"
	Сообщение от kunaksergey (??) on 12-Июн-07, 16:30
	где то читал что нужно сделать проброску в Nat вот только чего?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Все тот же Nat"
	Сообщение от DN (ok) on 12-Июн-07, 20:14
	>где то читал что нужно сделать проброску в Nat >вот только чего? Уважаемый, Вы уж определитесь, какой VPN Вам нужен? :-((( IPSEC (протокол 50,51) или PPTP (управляющий порт 1723)? Разница - "как Божий дар и яичницей".
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Все тот же Nat"
	Сообщение от kunaksergey (??) on 12-Июн-07, 22:42
	>>где то читал что нужно сделать проброску в Nat >>вот только чего? > >Уважаемый, Вы уж определитесь, какой VPN Вам нужен? :-((( >IPSEC (протокол 50,51) или PPTP (управляющий порт 1723)? >Разница - "как Божий дар и яичницей". Никогда не делал этого, поэтому какой протокол мне нужен я не знаю.Для этого в форуме и спрашиваю. Повторяю. Есть сервер VPN-находится .хрен знает где и никто его не касается. Пользователю выдан:login,пароль и ключ IpSec. Пользователь на WinXp. Мне нужно разрешить прохождения трафика через мой роутер.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Все тот же Nat"
	Сообщение от Andrew (??) on 12-Июн-07, 23:17
	>>>где то читал что нужно сделать проброску в Nat >>>вот только чего? >> >>Уважаемый, Вы уж определитесь, какой VPN Вам нужен? :-((( >>IPSEC (протокол 50,51) или PPTP (управляющий порт 1723)? >>Разница - "как Божий дар и яичницей". > > >Никогда не делал этого, поэтому какой протокол мне нужен я не знаю.Для >этого в форуме и спрашиваю. > >Повторяю. Есть сервер VPN-находится .хрен знает где и никто его не касается. >Пользователю выдан:login,пароль и ключ IpSec. Пользователь на WinXp. Мне нужно разрешить >прохождения трафика через мой роутер. Коллега! Не парьтесь! Все очень тривиально. У меня тоже роутер на FreeBSD с NATом. Ничего на нем не настраивал кроме стандартного. Тем не менее хожу через него по VPN с WinXP уже который год куда заблагорассудится. :) Понимаю конечно, что это ненормально. Но пока работает :) Может не надо заморачиваться, а стоит один раз попробовать настроить как в хендбуке советуют?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Все тот же Nat"
	Сообщение от kunaksergey (??) on 13-Июн-07, 09:03
	>Коллега! Не парьтесь! Все очень тривиально. У меня тоже роутер на FreeBSD >с NATом. Ничего на нем не настраивал кроме стандартного. Тем не >менее хожу через него по VPN с WinXP уже который год >куда заблагорассудится. :) >Понимаю конечно, что это ненормально. Но пока работает :) >Может не надо заморачиваться, а стоит один раз попробовать настроить как в >хендбуке советуют? Я еще раз говорю- я никогда VPN не настраивал(как IpSec точно работает незнаю). При подключении к удаленному серверу появляется сообщение: что-то вроде "протокол безопасности не синхронизирован"(дословно не помню,но если кому-то надо...). Поскольку удаленный сервер использует для подключения ключ IpSec-от думаю, что дело имено в редиректе последнего. По поводу вашего VPN- скиньте пожалуйста свои настройки и описание. Если вы иммеете ввиду настройки ipwf- от даже при открытом "allow all from any to any" соеденение не происходит.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Все тот же Nat"
	Сообщение от DN (ok) on 13-Июн-07, 11:43
	>Я еще раз говорю- я никогда VPN не настраивал(как IpSec точно работает >незнаю). При подключении к удаленному серверу появляется сообщение: что-то вроде "протокол >безопасности не синхронизирован"(дословно не помню,но если кому-то надо...). Поскольку удаленный сервер >использует для подключения ключ IpSec-от думаю, что дело имено в редиректе >последнего. Поставьте в IPFW allow esp from any to any для трафика IPSEC ipfw show tcpdump -n -i "интерфейс" 'esp' Проконтролируйте трафик IPSEC по счетчикам пакетов и tcpdump. Если пакеты ходят туда и обратно, то разбирайтесь с Win XP, ключами и т.д. >По поводу вашего VPN- скиньте пожалуйста свои настройки и описание. >Если вы иммеете ввиду настройки ipwf- от даже при открытом "allow all >from any to any" соеденение не происходит.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Все тот же Nat"
	Сообщение от kunaksergey (??) on 13-Июн-07, 15:57
	> >Поставьте в IPFW allow esp from any to any для трафика IPSEC > до divert или после?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Все тот же Nat"
	Сообщение от DN (ok) on 13-Июн-07, 16:20
	:-) Телепаты в отпуске. >>Поставьте в IPFW allow esp from any to any для трафика IPSEC >> >до divert или после? Естественно, esp трафик надо diver'ить на NAT. Имейте ввиду, что серверная сторона должна понимать фишку NAT-T.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Все тот же Nat"
	Сообщение от kunaksergey (??) on 14-Июн-07, 20:27
	>>до divert или после? > >Естественно, esp трафик надо diver'ить на NAT. >Имейте ввиду, что серверная сторона должна понимать фишку NAT-T. За 19 сообщений я вытянул из Вас только одну полезную строчку: >Поставьте в IPFW allow esp from any to any для трафика IPSEC наверное трудно людям с вами работать :)))) к тому же я не знаю что такое NAT-T.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Все тот же Nat"
	Сообщение от DN (ok) on 15-Июн-07, 00:48
	>>>до divert или после? >> >>Естественно, esp трафик надо diver'ить на NAT. >>Имейте ввиду, что серверная сторона должна понимать фишку NAT-T. >За 19 сообщений я вытянул из Вас только одну полезную строчку: Какие вопросы, такие ответы. >>Поставьте в IPFW allow esp from any to any для трафика IPSEC >наверное трудно людям с вами работать :)))) Возможно. Только я пытаюсь Вас заставить думать в нужном направлении, а не сделать за Вас вашу работу. :-) Вам еще раньше писали: "Телепаты в отпуске. Дайте больше параметров." >к тому же я не знаю что такое NAT-T. А через Google ? http://www.windowsecurity.com/articles/NAT-Traversal-Security.html За ньюансами к DEBRA LITTLEJOHN SHINDER. Извиняюсь, кнопки на вашей WinXP нажать не смогу.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Все тот же Nat"
	Сообщение от DN (ok) on 15-Июн-07, 02:34
	P.S. http://lists.freebsd.org/pipermail/freebsd-net/2006-September/011786.html Еще можно поискать ссылку NAT-T FreeBSD patch. Работает ли это не в курсе.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

23. "Все тот же Nat"
Сообщение от гость on 15-Июн-07, 13:52
>одна точка IP-192.168.0.1 >вторая точка-реальный адресс-xxx.xxx.xxx.xxx >Шлюз FreeBSD- внутренний адресс 192.168.0.2, внешний yyy.yyy.yyy.yyy >На FreeBSD стоит NAT и IPFW. >... >Пользователю выдан:login,пароль и ключ IpSec. Пользователь на WinXp. Я так понимаю, что использоваться будет L2TP IPSEC VPN на WinXP, следовательно, от шлюза нам может потребоваться только то, чтобы он пропускал весь наш трафик. 1. Сначала нужно настроить туннель IPSec в Windows (используется ключ IPSec) -вникаем в http://support.microsoft.com/kb/818043/ru, ключ к решению AssumeUDPEncapsulationContextOnSendRule -ищем как настраивается IPSec в виндовсе. 2. Настроить VPN соединение L2TP (используется логин, пароль) - здесь всё элементарно. ЗЫ Это кстати не единственный способ, но более простой.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Все тот же Nat"
	Сообщение от A Clockwork Orange on 15-Июн-07, 14:17
	мужик ты прочитал чо он хочет?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Все тот же Nat"
	Сообщение от guest (??) on 15-Июн-07, 14:51
	>мужик ты прочитал чо он хочет? Читал, а собственно в чём проблема? Клиент настраивает у себя как выше описано, а на шлюзе ОБЫЧНЫЙ НАТ.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Все тот же Nat"
	Сообщение от kunaksergey (??) on 15-Июн-07, 15:05
	>1. Сначала нужно настроить туннель IPSec в Windows (используется ключ IPSec) >-вникаем в http://support.microsoft.com/kb/818043/ru, ключ к решению >AssumeUDPEncapsulationContextOnSendRule >-ищем как настраивается IPSec в виндовсе. >2. Настроить VPN соединение L2TP (используется логин, пароль) >- здесь всё элементарно. >ЗЫ Это кстати не единственный способ, но более простой. 1.Насчет первого- думаю что особо не надо. Поскольку давно настроено и работает, только использует соеденение не через роутер, а через модем. 2. Настроить VPN соединение L2TP (используется логин, пароль)-тут не понятно.Зачем шлюзу логин и пароль. Если для преобразования пакета от пользователя winxp, то тогда шлюзу необходим также ключ IpSec пользователя. И вообще я мало себе представляю работу например большей компании, где VPN наружу- достаточное количество. Каждое прописывать что ли у себя на роутере?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Все тот же Nat"
	Сообщение от kunaksergey (??) on 16-Июн-07, 22:27
	+
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Все тот же Nat"
	Сообщение от kunaksergey (??) on 18-Июн-07, 11:32
	При добавлении правила в ipfw add allow esp from any to any - пишет ошибка согласования L2TP. Помогите плыз
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Все тот же Nat"
	Сообщение от DN (ok) on 18-Июн-07, 14:45
	>При добавлении правила в ipfw add allow esp from any to any >- пишет ошибка согласования L2TP. Помогите плыз Возможно, UDP порты 4500,500,10000 или 1701 не открыты. Возможно это правило (ipfw add allow esp from any to any) Вам и не понадобится. Все зависит от того, как реально у Вас все организовано. Sorry , может это будет в тему. http://support.microsoft.com/kb/885407/ http://support.microsoft.com/default.aspx?scid=kb;en-us;818043 http://www.faqs.org/rfcs/rfc3193.html -- Не тепат.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Все тот же Nat"
	Сообщение от kunaksergey (??) on 18-Июн-07, 16:40
	>>При добавлении правила в ipfw add allow esp from any to any >>- пишет ошибка согласования L2TP. Помогите плыз > >Возможно, UDP порты 4500,500,10000 или 1701 не открыты. > >Возможно это правило (ipfw add allow esp from any to any) >Вам и не понадобится. >Все зависит от того, как реально у Вас все организовано. > >Sorry , может это будет в тему. >http://support.microsoft.com/kb/885407/ >http://support.microsoft.com/default.aspx?scid=kb;en-us;818043 >http://www.faqs.org/rfcs/rfc3193.html > >-- >Не тепат. В башке моей уже каша. Подправте пожалуйста. 1. Для построения мне нужен IpSec- транспортный режим. 2. Для соеденения с удаленным VPN сервером нужны открытые UDP порты. (ставлю add allow udp from any to any до строчки divert natd).Хотя каким образом тогда локальный комп с локальной сети выйдет в инетв обход нату. 3. Следующий вариант. При обычном NAT конечные точки туннеля не смогут договориться о ключах и параметрах ESP, так как пакеты ISAKMP, в общем случае, через NAT/файрволл не проходят и требуется NAT-T. Для Nat-T вычитал нужны патчи.Сможите ли мне что-то посоветовать. 4. Использование mpd в качестве L2TP сервера. Везде приводится пример с использованием racoon.Но как я говорил ключ к VPN у меня есть и генерировать их ненадо. 5. Встречал пример типа: add 10.1.1.1 20.1.1.1 esp 9876 -E 3des-cbc "hogehogehogehogehogehoge"; add 20.1.1.1 10.1.1.1 esp 10000 -E 3des-cbc 0xdeadbeefdeadbeefdeadbeefdeadbeef; spdadd 10.1.1.1 20.1.1.1 any -P out ipsec esp/transport//use; Для работы в транспортном режиме. Не знаю нужно ли мне это.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору