Citiraj:
Autor shimpa
samo jedno pitanje, zašto se mučiš s time (mislim hvalevrijedan trud) ima daleko jednostavnijih rješenja.
tipa ssh server iza nat-a, pa fino tuneliraš taj-i-taj port koji ti treba preko putty-a.
na taj način imaš samo port 22 otvoren i sve što ti treba otvaraš kroz ssh(2).
point-to-point IPsec server se radi kad imaš x road warriora koji svi trebaju jednostavan način da dođu do interne mreže, ako si jedino ti taj koji pristupa mreži iza NAT-a, ne vidim čemu sve to (osim ako ti nije baš gušt razbijati glavu oko toga kao što meni dođe nekad).
|
Istina, cca 95% toga je da probam (i nadam se jednog lijepog dana uspijem
) napraviti i naučiti nešto što i nije baš mačji kašalj. Ostalih 5% toga je moja želja da kad već nešto takvoga radim da bude na nekom relativno zadovoljavajućem nivou sigurnosti pa iz tog razloga L2TP/IPSec i da ga mogu koristiti i moji ukučani (tata i seka) jer i njima bi takvo što ponekad dobro došlo. Stari radi puno toga doma na kompu pa da nemora uvijek sve furati na externom HDD-u
ili lapu.
Citiraj:
Autor Bl@de
A da probas radje sa pptp-om isti shit drugo pakovanje, stavis samo fowardovanje GRE protokola i TCP 1723.
|
To sam probao (napisao sam u prvom postu na vrhu) i uspijeva mi bez beda ali nisam se time zadovoljio jer PPTP nema enkripcije u sebi, pa bi iz tog razloga htio L2TP/IPSec. Moram štiti svoju malu ali slatku mrežicu.
Citiraj:
Autor daigu
Da li ti je IPSEC iskonfiguriran u group policy-ju, to jest da li ti je naštelan na server (request security) ili server (require security).
|
Taj dio mi baš nije jača strana. Nisam do sada ništa štimao manualno u group policyu već sam sve testirao sa defaultnim postavkama. Možda ima koja sugestija?
Citiraj:
Autor daigu
Tu se naštimava i vrsta autentifikacije (Kerberos v5 protocol, PKI certificate, ili preshared key)?
|
Ja sam se odlučio za preshared key i u propertisima servera stavio kvačicu na to da enableam tu opciju i upisao sam onda key.
Citiraj:
Autor daigu
Da li su ti na notebooku i serveru uključeni IPSEC Services?
|
Jesu po defaultu. Nisam ih gasio.
Citiraj:
Autor daigu
Kakvu autentifikaciju si koristio za IPSEC, certifikate
|
preshared key
Citiraj:
Autor daigu
kako si naštelao klijente? Svašta može biti.
|
Ah, da, znam da svašta može biti i to me najviše i gnjavi i brine.
Na što si to mislio kod klijenta? U win XP se baš i nema nešto previše za štimati u postvkama konekcije.
Citiraj:
Autor daigu
Zar Mikrotik nema u sebi ugrađen VPN server i klijent (među ostalim i IPSEC/L2TP), da ga tu možda nešto ne zbunjuje. Možda ako ne uspiješ ovako, zašto ne pokušaš Mikrotik postaviti kao vpn server?
|
Da, u pravu si MT ima opcije L2TP servera i pokušao sam nešto s time ali sam odustao jer ma zaje????alo s postavljanjem IPSeca i preshared key. Nisam to skužio kako dobro riješiti, a u windozama je to nekako standardno više GUI riješeno, što naravno nije dobro za ovakve stvari
, ali eto krenuo sam da to napravim na Win 2k3. Ako ne uspije ovo, probati ću opet s MT-om.
Citiraj:
Autor daigu
I što ti znači ovo:
Kakav je to "forward" odlaznog prometa? Jasno mi je da na navedenim portovima kod ulaznog prometa forwardiraš promet na adresu VPN servera. U obratnom slučaju nema forwarda. Da li u odlaznom filtru postoji mogućnost unosa subnet mask-a. Ajde probaj skroz otvoriti izlazni promet sa vpn servera.
|
MikroTik ono što prolazi kroz njega naziva forward, a to se meni odnosi znači na sve ono što ide od servera kroz MT prema internetu. Ja sam blokirao sav izlaz sa servra izuzev što sam mu dopusti izlaz na DNS servre i ove protokole koji mi trebaju za VPN. U tom smislu sam rekao da sam dopustio forward tih protokola. Kod ulaznog prometa sam pak dstNAT-ao promet koji mi treba za VPN prema lokalnoj IP adresi VPN servera.
Citiraj:
Autor daigu
Ali pak ako je glad za znanjem u pitanju, onda sasvim podržavam. |
Kako kazah, da najviše je to, kao gotovo i uvijek
Citiraj:
Autor daigu
A nije baš IPSEC i PPTP isti shit...
|
Da, vrlo je različita razina sigurnosti koju pružaju.