URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 2254
[ Назад ]

Исходное сообщение
"FreeBSD + удаленные клиенты"
Отправлено TankWarrior , 22-Авг-05 23:23

Есть такая задачка:
В локалке стоит шлюзик в Интернет на FreeBSD 5.4.
Сотрудник уехал в командировку с ноутбуком, и оттуда возникла необходимость через Интернет подконнектиться к нашему шлюзику, (наверное лучше поднять какой-то шифрованный туннель?) и получить доступ к ресурсам нашей локальной сети, например к почтовому серверу, внутреннему вэб-серверу, терминальному серверу на Win2003 и т.д.
Как это реализовать? Какой софт лучше использовать, учитывая то, что у наш друг с нотиком всегда может приходить из Интернета с разными IP-адресами, т.к. использует услуги dial-up от разных местных провайдеров.
Спецы! Надеюсь на Вашу помощь.

Содержание

FreeBSD + удаленные клиенты,imax, 09:29 , 23-Авг-05
- FreeBSD + удаленные клиенты,TankWarrior, 10:47 , 23-Авг-05
  - FreeBSD + удаленные клиенты,DukeArtem, 20:05 , 23-Авг-05

Сообщения в этом обсуждении

"FreeBSD + удаленные клиенты"
Отправлено imax , 23-Авг-05 09:29

>Есть такая задачка:
>В локалке стоит шлюзик в Интернет на FreeBSD 5.4.
>Сотрудник уехал в командировку с ноутбуком, и оттуда возникла необходимость через Интернет
>подконнектиться к нашему шлюзику, (наверное лучше поднять какой-то шифрованный туннель?) и
>получить доступ к ресурсам нашей локальной сети..
Самое простое поставить VPN сервер, например MPD. Там и шифрация трафика есть.
PS Эта тема уже неоднократно поднималась.

"FreeBSD + удаленные клиенты"
Отправлено TankWarrior , 23-Авг-05 10:47

>Самое простое поставить VPN сервер, например MPD. Там и шифрация трафика есть.
На шлюзе уже есть racoon+поддержка IPSec у FreeBSD, но проблема в том, что в файле ключей для racoon прописывается конкретный IP удаленной машины, но в данном случае IP при каждом подключении будет разным. Как с этим быть. Плюс ко всему работает PF, и в pf.conf также прописаны сторки с конкретной адресацией:
#Разрешаем проходить через туннельный интерфейс gif0 шифрованные пакеты
pass in quick log-all on gif0 proto esp from A.A.A.A to B.B.B.B
pass out quick log-all on gif0 proto esp from B.B.B.B to A.A.A.A

#Разрешаем отправлять с внешнего интерфейса xl1 шифрованные инкапсулированные пакеты
#на публичный ip-адрес другого конца туннеля и соответственно получать с того же адреса
#подобные пакеты обратно на наш внешний интерфейс xl1, т.е. публичный ip-адрес
pass in quick log-all on $extcard proto {esp ipencap} from A.A.A.A to B.B.B.B
pass out quick log-all on $extcard proto {esp ipencap} from B.B.B.B to A.A.A.A
...или есть предложения написать правила по другому?

"FreeBSD + удаленные клиенты"
Отправлено DukeArtem , 23-Авг-05 20:05

Согласен самый лучший вариант OpenVPN, только в нём сейчас нашли множество уязвимостей (думаю патчи поправят дело)
http://www.securitylab.ru/vulnerability/239712.php
З.Ы. Безопасной вам сети!