URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID2
Нить номер: 1308
[ Назад ]

Исходное сообщение
"Разовая работа -   Linux kernel IPSEC , VPN L2TP - 350$"

Отправлено LostSoul , 11-Окт-05 18:15 
Запустить L2TP VPN с поддержкой множества подключений с одного NAT-шлюза.

Есть L2TP сервер под Linux предназначенный для удалённого доступа клиентов в  в внутреннюю сеть компании через GPRS-доступ.  ( не проходит GRE и ESP , L2TP работает в режиме NAT-T )

Реализация IPSEC в Linux такова, что несколько клиентов одновременно не могут подключится к L2TP-серверу.

Существует готовое решение и выложенные под GPL патчи, устраняющие данную проблему.
Задача - заставить их работать.
Тому кто покажет на нашем тестовом сервере работающее решение заплатим 350$

Александр Лаврентьев
johny@stv.net.ru  ICQ 6235305  телефон рабочий 955-1208


Содержание

Сообщения в этом обсуждении
"Разовая работа -   Linux kernel IPSEC , VPN L2TP - 350$"
Отправлено toor99 , 13-Окт-05 21:57 
>Запустить L2TP VPN с поддержкой множества подключений с одного NAT-шлюза.
>
>Есть L2TP сервер под Linux предназначенный для удалённого доступа клиентов в  
>в внутреннюю сеть компании через GPRS-доступ.  ( не проходит GRE
>и ESP , L2TP работает в режиме NAT-T )
>
>Реализация IPSEC в Linux такова, что несколько клиентов одновременно не могут подключится
>к L2TP-серверу.
>
>Существует готовое решение и выложенные под GPL патчи, устраняющие данную проблему.
>Задача - заставить их работать.
>Тому кто покажет на нашем тестовом сервере работающее решение заплатим 350$
>
>Александр Лаврентьев
>johny@stv.net.ru  ICQ 6235305  телефон рабочий 955-1208

Поскольку у нас не страна баранов, а страна советов - вот вам совет.
Выбросьте linux и поставьте наконец Cisco 1700 (1720 можно купить на ebay за 140 долларов).
И вы забудете о ваших страданиях навсегда.


"Разовая работа -   Linux kernel IPSEC , VPN L2TP - 350$"
Отправлено LostSoul , 14-Окт-05 09:29 
>>Запустить L2TP VPN с поддержкой множества подключений с одного NAT-шлюза.
>>
>>Есть L2TP сервер под Linux предназначенный для удалённого доступа клиентов в  
>>в внутреннюю сеть компании через GPRS-доступ.  ( не проходит GRE
>>и ESP , L2TP работает в режиме NAT-T )
>>
>>Реализация IPSEC в Linux такова, что несколько клиентов одновременно не могут подключится
>>к L2TP-серверу.
>>
>>Существует готовое решение и выложенные под GPL патчи, устраняющие данную проблему.
>>Задача - заставить их работать.
>>Тому кто покажет на нашем тестовом сервере работающее решение заплатим 350$
>>
>>Александр Лаврентьев
>>johny@stv.net.ru  ICQ 6235305  телефон рабочий 955-1208
>
>Поскольку у нас не страна баранов, а страна советов - вот вам
>совет.
>Выбросьте linux и поставьте наконец Cisco 1700 (1720 можно купить на ebay
>за 140 долларов).
>И вы забудете о ваших страданиях навсегда.
Большое спасибо за совет.
А не подскажите, сколько одновременных подключений потянет эта модель?

И найдётся ли на неё действующий сертификат CCЭ, а то как мы её сдавать надзорным органам будем? :)


"Разовая работа -   Linux kernel IPSEC , VPN L2TP - 350$"
Отправлено toor99 , 14-Окт-05 09:57 
>>Поскольку у нас не страна баранов, а страна советов - вот вам
>>совет.
>>Выбросьте linux и поставьте наконец Cisco 1700 (1720 можно купить на ebay
>>за 140 долларов).
>>И вы забудете о ваших страданиях навсегда.
>Большое спасибо за совет.
>А не подскажите, сколько одновременных подключений потянет эта модель?
>
>И найдётся ли на неё действующий сертификат CCЭ, а то как мы
>её сдавать надзорным органам будем? :)

Именно эта модель - увы, немного. Сколько именно, зависит от объёмов трафика.
По поводу сертификатов - сертификат конкретно на данную линейку имеет номер ОС/1-СПД-132. Вообще, у Cisco с сертификатами всё хорошо. Сами подумайте, как иначе работали бы наши интеграторы? :)


"Разовая работа -   Linux kernel IPSEC , VPN L2TP - 350$"
Отправлено LostSoul , 14-Окт-05 10:01 
>>>Поскольку у нас не страна баранов, а страна советов - вот вам
>>>совет.
>>>Выбросьте linux и поставьте наконец Cisco 1700 (1720 можно купить на ebay
>>>за 140 долларов).
>>>И вы забудете о ваших страданиях навсегда.
>>Большое спасибо за совет.
>>А не подскажите, сколько одновременных подключений потянет эта модель?
>>
>>И найдётся ли на неё действующий сертификат CCЭ, а то как мы
>>её сдавать надзорным органам будем? :)
>
>Именно эта модель - увы, немного. Сколько именно, зависит от объёмов трафика.
>
>По поводу сертификатов - сертификат конкретно на данную линейку имеет номер ОС/1-СПД-132.
>Вообще, у Cisco с сертификатами всё хорошо. Сами подумайте, как иначе
>работали бы наши интеграторы? :)

Дело в том что трафик у нас как раз маленький ( на GPRS особо не разгонишься ), а вот открытых коннектов нужно держать несколько сотен.

А насчёт сертификатов - я знаю что у Cisco всё хорошо, но вот всегда ли они продляют сертификаты на железо давно снятое с производства дремучего года? )


"Разовая работа -   Linux kernel IPSEC , VPN L2TP - 350$"
Отправлено toor99 , 14-Окт-05 10:05 
>>По поводу сертификатов - сертификат конкретно на данную линейку имеет номер ОС/1-СПД-132.
>>Вообще, у Cisco с сертификатами всё хорошо. Сами подумайте, как иначе
>>работали бы наши интеграторы? :)
>
>Дело в том что трафик у нас как раз маленький ( на
>GPRS особо не разгонишься ), а вот открытых коннектов нужно держать
>несколько сотен.
>
>А насчёт сертификатов - я знаю что у Cisco всё хорошо, но
>вот всегда ли они продляют сертификаты на железо давно снятое с
>производства дремучего года? )

Ваша правда, этот сертификат не продлён :(


"Разовая работа -   Linux kernel IPSEC , VPN L2TP - 350$"
Отправлено daemon , 14-Окт-05 22:53 
NAT-Traversal is considered to be experimental and unsafe if used with L2TP/IPsec (see section 5 "Security Considerations" of the "IPsec within UDP" IETF draft mentioned above)

"Разовая работа -   Linux kernel IPSEC , VPN L2TP - 350$"
Отправлено LostSoul , 14-Окт-05 22:58 
>NAT-Traversal is considered to be experimental and unsafe if used with L2TP/IPsec
>(see section 5 "Security Considerations" of the "IPsec within UDP" IETF
>draft mentioned above)


И что именно вы хотели этим сказать? :)


"Разовая работа -   Linux kernel IPSEC , VPN L2TP - 350$"
Отправлено daemon , 15-Окт-05 12:38 
>>NAT-Traversal is considered to be experimental and unsafe if used with L2TP/IPsec
>>(see section 5 "Security Considerations" of the "IPsec within UDP" IETF
>>draft mentioned above)
>
>
>И что именно вы хотели этим сказать? :)

  То, что если вы хотите VPN через NAT, то, на сегодняшний день, единственным безопасным решением является OpenVPN.


"Разовая работа -   Linux kernel IPSEC , VPN L2TP - 350$"
Отправлено LostSoul , 15-Окт-05 15:05 
>>>NAT-Traversal is considered to be experimental and unsafe if used with L2TP/IPsec
>>>(see section 5 "Security Considerations" of the "IPsec within UDP" IETF
>>>draft mentioned above)
>>
>>
>>И что именно вы хотели этим сказать? :)
>
>  То, что если вы хотите VPN через NAT, то, на
>сегодняшний день, единственным безопасным решением является OpenVPN.
Я хочу именно то, что я описал - успешное наложение патча на kernel-2.6.xx и демонстрацию работоспособности.
Сам патч находится вот здесь http://www.stinghorn.com/opensource/
( первый или второй )
Я осведомлен о возможных проблемах , но мне нужно именно L2TP   через IPSEC NAT-T  ( ESP-in-UDP )

Кстати "unsafe" в приведенной вами цитате говорит лишь о возможности DOS одного авторизированого клиента IPSEC другим, вот и весь unsafe.


"Разовая работа -   Linux kernel IPSEC , VPN L2TP - 350$"
Отправлено eSupport.org.ua , 17-Окт-05 00:09 
Обращайтесь к нам - поможем.

"Разовая работа -   Linux kernel IPSEC , VPN L2TP - 350$"
Отправлено Sergey , 18-Окт-05 12:48 
Возможен вариант оргинизации работоспособной конфигурации -
все точно как Вы хотите, с одной особенностью - вместо
патча для ядра, который был Вами упомянут, будет использован
аналогичный opensource патч (также обеспечивающий работу NAT-T)
от разработчиков openswan.

Все это я могу (для первоначального тестирования) развернуть на одном из
своих development серверов с последующим переносом на ваш тестовый сервер.

Сергей, sersm@bk.ru ICQ 6765478