Вобщем надо пробросить через Nat стоящий на роутере FreeBSD VPN-соеденение точка-точка, и использующее IpSec.
пишут многое, чуть ли не создание VPN сервера. Кто знает-скиньте пример,
там по-моему должно быть правило в natd.conf пропускающее gre протокол. В ядре IpSec включен.. вобщем помогите кто чем может. Плыз. не кидайте ссылки типа-"на, изучай",просто напишите: 1-то-то, 2-е то-то.
>пишут многое, чуть ли не создание VPN сервера. Кто знает-скиньте пример,
>там по-моему должно быть правило в natd.conf пропускающее gre протокол. В ядре
>IpSec включен.. вобщем помогите кто чем может. Плыз. не кидайте ссылки
>типа-"на, изучай",просто напишите: 1-то-то, 2-е то-то....
N-то-то и оно же последнее: отправить переводом туда то, такую то сумму.
Шутка.GRE (47) и IPSEC (50,51) - это разные протоколы .
И причем тут natd.conf?
>GRE (47) и IPSEC (50,51) - это разные протоколы .
>И причем тут natd.conf?
Это так сказать не мое- это советы пользователей форума, а я прошу четкий пример.
>>GRE (47) и IPSEC (50,51) - это разные протоколы .
>>И причем тут natd.conf?
>Это так сказать не мое- это советы пользователей форума, а я прошу
>четкий пример.Телепаты в отпуске. Дайте больше параметров.
>Телепаты в отпуске. Дайте больше параметров.
внимательно стоит читать сначала и не флудить.Что нужно что бы настроить VPN точка-точка через шлюз FreeBSD. VPN использует IpSec.
Допустим такие параметры:
одна точка IP-192.168.0.1
вторая точка-реальный адресс-xxx.xxx.xxx.xxx
Шлюз FreeBSD- внутренний адресс 192.168.0.2, внешний yyy.yyy.yyy.yyy
На FreeBSD стоит NAT и IPFW.
>Телепаты в отпуске. Дайте больше параметров.
внимательно стоит читать сначала и не флудить.Что нужно что бы настроить VPN точка-точка через шлюз FreeBSD. VPN использует IpSec.
Допустим такие параметры:
одна точка IP-192.168.0.1
вторая точка-реальный адресс-xxx.xxx.xxx.xxx
Шлюз FreeBSD- внутренний адресс 192.168.0.2, внешний yyy.yyy.yyy.yyy
На FreeBSD стоит NAT и IPFW.
>>Телепаты в отпуске. Дайте больше параметров.
>внимательно стоит читать сначала и не флудить.Ни кто и не флудит.
>Что нужно что бы настроить VPN точка-точка через шлюз FreeBSD. VPN использует
>IpSec.http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ip...
Адаптируйте под Ваши нужны, и настройте по шагам.
Или сообщите, что у Вас конкретно не работает, какие симптомы?То что Вы пишите ниже, совершенно недостаточно для решения вашей
проблемы. Нужна конкретность.Еще раз, телепаты в отпуске.
>Допустим такие параметры:
>
>
>одна точка IP-192.168.0.1
>вторая точка-реальный адресс-xxx.xxx.xxx.xxx
>Шлюз FreeBSD- внутренний адресс 192.168.0.2, внешний yyy.yyy.yyy.yyy
>На FreeBSD стоит NAT и IPFW.
>
>
>http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ip...
>это руководство читал. Как адаптировать под себя незнаю.По этому и спрашиваю тут.>То что Вы пишите ниже, совершенно недостаточно для решения вашей
>проблемы. Нужна конкретность.
Интересно, что конкретно еще нужно?
>>http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ip...
>>это руководство читал. Как адаптировать под себя незнаю.По этому и спрашиваю тут.
>
>>То что Вы пишите ниже, совершенно недостаточно для решения вашей
>>проблемы. Нужна конкретность.
>Интересно, что конкретно еще нужно?Если полностью использовать вариант, который представлен в документации,
необходимо добавить еще один приватный адрес на интерфейс второй машины.
Сделать правила IPFW, настроить isakmpd или racoon.
Можно все поднять в ручную через setkey без isakmpd или racoon.Не знаю, что еще добавить к исчерпывающей документации.
Пишите, что у Вас конкретно не получиться.
Мне всего лишь нужно что бы мой шлюз пропустил VPN соеденение к VPN серверу. не более, мне не надо обьеденять сети и т.д
нужно делать NAT для tcp/1723
и всех GRE(47) пакетов
>нужно делать NAT для tcp/1723
>и всех GRE(47) пакетов
allow tcp from any to me 1723
allow gre from any to any
стоит
где то читал что нужно сделать проброску в Nat
вот только чего?
>где то читал что нужно сделать проброску в Nat
>вот только чего?Уважаемый, Вы уж определитесь, какой VPN Вам нужен? :-(((
IPSEC (протокол 50,51) или PPTP (управляющий порт 1723)?
Разница - "как Божий дар и яичницей".
>>где то читал что нужно сделать проброску в Nat
>>вот только чего?
>
>Уважаемый, Вы уж определитесь, какой VPN Вам нужен? :-(((
>IPSEC (протокол 50,51) или PPTP (управляющий порт 1723)?
>Разница - "как Божий дар и яичницей".
Никогда не делал этого, поэтому какой протокол мне нужен я не знаю.Для этого в форуме и спрашиваю.Повторяю. Есть сервер VPN-находится .хрен знает где и никто его не касается. Пользователю выдан:login,пароль и ключ IpSec. Пользователь на WinXp. Мне нужно разрешить прохождения трафика через мой роутер.
>>>где то читал что нужно сделать проброску в Nat
>>>вот только чего?
>>
>>Уважаемый, Вы уж определитесь, какой VPN Вам нужен? :-(((
>>IPSEC (протокол 50,51) или PPTP (управляющий порт 1723)?
>>Разница - "как Божий дар и яичницей".
>
>
>Никогда не делал этого, поэтому какой протокол мне нужен я не знаю.Для
>этого в форуме и спрашиваю.
>
>Повторяю. Есть сервер VPN-находится .хрен знает где и никто его не касается.
>Пользователю выдан:login,пароль и ключ IpSec. Пользователь на WinXp. Мне нужно разрешить
>прохождения трафика через мой роутер.Коллега! Не парьтесь! Все очень тривиально. У меня тоже роутер на FreeBSD с NATом. Ничего на нем не настраивал кроме стандартного. Тем не менее хожу через него по VPN с WinXP уже который год куда заблагорассудится. :)
Понимаю конечно, что это ненормально. Но пока работает :)
Может не надо заморачиваться, а стоит один раз попробовать настроить как в хендбуке советуют?
>Коллега! Не парьтесь! Все очень тривиально. У меня тоже роутер на FreeBSD
>с NATом. Ничего на нем не настраивал кроме стандартного. Тем не
>менее хожу через него по VPN с WinXP уже который год
>куда заблагорассудится. :)
>Понимаю конечно, что это ненормально. Но пока работает :)
>Может не надо заморачиваться, а стоит один раз попробовать настроить как в
>хендбуке советуют?Я еще раз говорю- я никогда VPN не настраивал(как IpSec точно работает незнаю). При подключении к удаленному серверу появляется сообщение: что-то вроде "протокол безопасности не синхронизирован"(дословно не помню,но если кому-то надо...). Поскольку удаленный сервер использует для подключения ключ IpSec-от думаю, что дело имено в редиректе последнего.
По поводу вашего VPN- скиньте пожалуйста свои настройки и описание.
Если вы иммеете ввиду настройки ipwf- от даже при открытом "allow all from any to any" соеденение не происходит.
>Я еще раз говорю- я никогда VPN не настраивал(как IpSec точно работает
>незнаю). При подключении к удаленному серверу появляется сообщение: что-то вроде "протокол
>безопасности не синхронизирован"(дословно не помню,но если кому-то надо...). Поскольку удаленный сервер
>использует для подключения ключ IpSec-от думаю, что дело имено в редиректе
>последнего.Поставьте в IPFW allow esp from any to any для трафика IPSEC
ipfw show
tcpdump -n -i "интерфейс" 'esp'Проконтролируйте трафик IPSEC по счетчикам пакетов и tcpdump.
Если пакеты ходят туда и обратно, то разбирайтесь с Win XP, ключами и т.д.
>По поводу вашего VPN- скиньте пожалуйста свои настройки и описание.
>Если вы иммеете ввиду настройки ipwf- от даже при открытом "allow all
>from any to any" соеденение не происходит.
>
>Поставьте в IPFW allow esp from any to any для трафика IPSEC
>
до divert или после?
:-)
Телепаты в отпуске.>>Поставьте в IPFW allow esp from any to any для трафика IPSEC
>>
>до divert или после?Естественно, esp трафик надо diver'ить на NAT.
Имейте ввиду, что серверная сторона должна понимать фишку NAT-T.
>>до divert или после?
>
>Естественно, esp трафик надо diver'ить на NAT.
>Имейте ввиду, что серверная сторона должна понимать фишку NAT-T.
За 19 сообщений я вытянул из Вас только одну полезную строчку:
>Поставьте в IPFW allow esp from any to any для трафика IPSEC
наверное трудно людям с вами работать :))))
к тому же я не знаю что такое NAT-T.
>>>до divert или после?
>>
>>Естественно, esp трафик надо diver'ить на NAT.
>>Имейте ввиду, что серверная сторона должна понимать фишку NAT-T.
>За 19 сообщений я вытянул из Вас только одну полезную строчку:Какие вопросы, такие ответы.
>>Поставьте в IPFW allow esp from any to any для трафика IPSEC
>наверное трудно людям с вами работать :))))Возможно. Только я пытаюсь Вас заставить думать в
нужном направлении, а не сделать за Вас вашу работу. :-)Вам еще раньше писали:
"Телепаты в отпуске. Дайте больше параметров.">к тому же я не знаю что такое NAT-T.
А через Google ?
http://www.windowsecurity.com/articles/NAT-Traversal-Securit...За ньюансами к DEBRA LITTLEJOHN SHINDER.
Извиняюсь, кнопки на вашей WinXP нажать не смогу.
P.S.http://lists.freebsd.org/pipermail/freebsd-net/2006-Septembe...
Еще можно поискать ссылку NAT-T FreeBSD patch.
Работает ли это не в курсе.
>одна точка IP-192.168.0.1
>вторая точка-реальный адресс-xxx.xxx.xxx.xxx
>Шлюз FreeBSD- внутренний адресс 192.168.0.2, внешний yyy.yyy.yyy.yyy
>На FreeBSD стоит NAT и IPFW.
>...
>Пользователю выдан:login,пароль и ключ IpSec. Пользователь на WinXp.Я так понимаю, что использоваться будет L2TP IPSEC VPN на WinXP, следовательно, от шлюза нам может потребоваться только то, чтобы он пропускал весь наш трафик.
1. Сначала нужно настроить туннель IPSec в Windows (используется ключ IPSec)
-вникаем в http://support.microsoft.com/kb/818043/ru, ключ к решению AssumeUDPEncapsulationContextOnSendRule
-ищем как настраивается IPSec в виндовсе.
2. Настроить VPN соединение L2TP (используется логин, пароль)
- здесь всё элементарно.ЗЫ Это кстати не единственный способ, но более простой.
мужик ты прочитал чо он хочет?
>мужик ты прочитал чо он хочет?Читал, а собственно в чём проблема?
Клиент настраивает у себя как выше описано, а на шлюзе ОБЫЧНЫЙ НАТ.
>1. Сначала нужно настроить туннель IPSec в Windows (используется ключ IPSec)
>-вникаем в http://support.microsoft.com/kb/818043/ru, ключ к решению >AssumeUDPEncapsulationContextOnSendRule
>-ищем как настраивается IPSec в виндовсе.
>2. Настроить VPN соединение L2TP (используется логин, пароль)
>- здесь всё элементарно.>ЗЫ Это кстати не единственный способ, но более простой.
1.Насчет первого- думаю что особо не надо. Поскольку давно настроено и работает, только использует соеденение не через роутер, а через модем.
2. Настроить VPN соединение L2TP (используется логин, пароль)-тут не понятно.Зачем шлюзу логин и пароль. Если для преобразования пакета от пользователя winxp, то тогда шлюзу необходим также ключ IpSec пользователя.И вообще я мало себе представляю работу например большей компании, где VPN наружу- достаточное количество. Каждое прописывать что ли у себя на роутере?
+
При добавлении правила в ipfw add allow esp from any to any - пишет ошибка согласования L2TP. Помогите плыз
>При добавлении правила в ipfw add allow esp from any to any
>- пишет ошибка согласования L2TP. Помогите плызВозможно, UDP порты 4500,500,10000 или 1701 не открыты.
Возможно это правило (ipfw add allow esp from any to any)
Вам и не понадобится.
Все зависит от того, как реально у Вас все организовано.Sorry , может это будет в тему.
http://support.microsoft.com/kb/885407/
http://support.microsoft.com/default.aspx?scid=kb;en-us;818043
http://www.faqs.org/rfcs/rfc3193.html--
Не тепат.
>>При добавлении правила в ipfw add allow esp from any to any
>>- пишет ошибка согласования L2TP. Помогите плыз
>
>Возможно, UDP порты 4500,500,10000 или 1701 не открыты.
>
>Возможно это правило (ipfw add allow esp from any to any)
>Вам и не понадобится.
>Все зависит от того, как реально у Вас все организовано.
>
>Sorry , может это будет в тему.
>http://support.microsoft.com/kb/885407/
>http://support.microsoft.com/default.aspx?scid=kb;en-us;818043
>http://www.faqs.org/rfcs/rfc3193.html
>
>--
>Не тепат.В башке моей уже каша. Подправте пожалуйста.
1. Для построения мне нужен IpSec- транспортный режим.
2. Для соеденения с удаленным VPN сервером нужны открытые UDP порты.
(ставлю add allow udp from any to any до строчки divert natd).Хотя каким образом тогда локальный комп с локальной сети выйдет в инетв обход нату.
3. Следующий вариант. При обычном NAT конечные точки туннеля не смогут договориться о ключах и параметрах ESP, так как пакеты ISAKMP, в общем случае, через NAT/файрволл не проходят и требуется NAT-T. Для Nat-T вычитал нужны патчи.Сможите ли мне что-то посоветовать.
4. Использование mpd в качестве L2TP сервера. Везде приводится пример с использованием racoon.Но как я говорил ключ к VPN у меня есть и генерировать их ненадо.
5. Встречал пример типа:
add 10.1.1.1 20.1.1.1 esp 9876 -E 3des-cbc "hogehogehogehogehogehoge";
add 20.1.1.1 10.1.1.1 esp 10000 -E 3des-cbc 0xdeadbeefdeadbeefdeadbeefdeadbeef;
spdadd 10.1.1.1 20.1.1.1 any -P out ipsec esp/transport//use;
Для работы в транспортном режиме. Не знаю нужно ли мне это.
+
>1. Для построения мне нужен IpSec- транспортный режим.Нужен обычно туннельный (ESP протокол).
Транспортный (AH протокол) используют, чтобы пакеты по пути нельзя было
изменить. Еще применяют ESP , а затем AH.>2. Для соеденения с удаленным VPN сервером нужны открытые UDP порты.
>(ставлю add allow udp from any to any до строчки divert natd).Хотя
>каким образом тогда локальный комп с локальной сети выйдет в инетв
>обход нату.Да, нужны открытые UDP порты, но через NAT.
>3. Следующий вариант. При обычном NAT конечные точки туннеля не смогут договориться
>о ключах и параметрах ESP, так как пакеты ISAKMP, в общем
>случае, через NAT/файрволл не проходят и требуется NAT-T. Для Nat-T вычитал
>нужны патчи.Сможите ли мне что-то посоветовать.Для IKE (ISAKMP) NAT Traversal - это инкапсуляция в UDP (4500 порт по default,
для cisco 10000 порт).
http://www.ietf.org/rfc/rfc3947.txtДля ESP - это инкапсуляция ESP в UDP (4500 порт по default,
для cisco 10000 порт).
http://www.ietf.org/rfc/rfc3948.txtВот статейка, даст Вам ответы.
http://www.lghost.ru/lib/samag/content/2003/samag_03_4/samag3(4)-22-24.pdf
А вот, какие части протокола IPSEC и NAT-T Вы будете использовать
на машине WinXP, а какие на шлюзах, решать Вам.
Что там в XP реализовано, я не знаю.>5. Встречал пример типа:
>add 10.1.1.1 20.1.1.1 esp 9876 -E 3des-cbc "hogehogehogehogehogehoge";
>add 20.1.1.1 10.1.1.1 esp 10000 -E 3des-cbc 0xdeadbeefdeadbeefdeadbeefdeadbeef;
>spdadd 10.1.1.1 20.1.1.1 any -P out ipsec esp/transport//use;
>Для работы в транспортном режиме. Не знаю нужно ли мне это.Думаю, нет. Здесь мануальные ключи для ESP (man setkey) , а не ISAKMP.
Спасибо за мучения-все сделал.
Esp ненужно было. Нужно было пропустить тока UDP 1701 4500 и 500