Запустить L2TP VPN с поддержкой множества подключений с одного NAT-шлюза.Есть L2TP сервер под Linux предназначенный для удалённого доступа клиентов в в внутреннюю сеть компании через GPRS-доступ. ( не проходит GRE и ESP , L2TP работает в режиме NAT-T )
Реализация IPSEC в Linux такова, что несколько клиентов одновременно не могут подключится к L2TP-серверу.
Существует готовое решение и выложенные под GPL патчи, устраняющие данную проблему.
Задача - заставить их работать.
Тому кто покажет на нашем тестовом сервере работающее решение заплатим 350$Александр Лаврентьев
johny@stv.net.ru ICQ 6235305 телефон рабочий 955-1208
>Запустить L2TP VPN с поддержкой множества подключений с одного NAT-шлюза.
>
>Есть L2TP сервер под Linux предназначенный для удалённого доступа клиентов в
>в внутреннюю сеть компании через GPRS-доступ. ( не проходит GRE
>и ESP , L2TP работает в режиме NAT-T )
>
>Реализация IPSEC в Linux такова, что несколько клиентов одновременно не могут подключится
>к L2TP-серверу.
>
>Существует готовое решение и выложенные под GPL патчи, устраняющие данную проблему.
>Задача - заставить их работать.
>Тому кто покажет на нашем тестовом сервере работающее решение заплатим 350$
>
>Александр Лаврентьев
>johny@stv.net.ru ICQ 6235305 телефон рабочий 955-1208Поскольку у нас не страна баранов, а страна советов - вот вам совет.
Выбросьте linux и поставьте наконец Cisco 1700 (1720 можно купить на ebay за 140 долларов).
И вы забудете о ваших страданиях навсегда.
>>Запустить L2TP VPN с поддержкой множества подключений с одного NAT-шлюза.
>>
>>Есть L2TP сервер под Linux предназначенный для удалённого доступа клиентов в
>>в внутреннюю сеть компании через GPRS-доступ. ( не проходит GRE
>>и ESP , L2TP работает в режиме NAT-T )
>>
>>Реализация IPSEC в Linux такова, что несколько клиентов одновременно не могут подключится
>>к L2TP-серверу.
>>
>>Существует готовое решение и выложенные под GPL патчи, устраняющие данную проблему.
>>Задача - заставить их работать.
>>Тому кто покажет на нашем тестовом сервере работающее решение заплатим 350$
>>
>>Александр Лаврентьев
>>johny@stv.net.ru ICQ 6235305 телефон рабочий 955-1208
>
>Поскольку у нас не страна баранов, а страна советов - вот вам
>совет.
>Выбросьте linux и поставьте наконец Cisco 1700 (1720 можно купить на ebay
>за 140 долларов).
>И вы забудете о ваших страданиях навсегда.
Большое спасибо за совет.
А не подскажите, сколько одновременных подключений потянет эта модель?И найдётся ли на неё действующий сертификат CCЭ, а то как мы её сдавать надзорным органам будем? :)
>>Поскольку у нас не страна баранов, а страна советов - вот вам
>>совет.
>>Выбросьте linux и поставьте наконец Cisco 1700 (1720 можно купить на ebay
>>за 140 долларов).
>>И вы забудете о ваших страданиях навсегда.
>Большое спасибо за совет.
>А не подскажите, сколько одновременных подключений потянет эта модель?
>
>И найдётся ли на неё действующий сертификат CCЭ, а то как мы
>её сдавать надзорным органам будем? :)Именно эта модель - увы, немного. Сколько именно, зависит от объёмов трафика.
По поводу сертификатов - сертификат конкретно на данную линейку имеет номер ОС/1-СПД-132. Вообще, у Cisco с сертификатами всё хорошо. Сами подумайте, как иначе работали бы наши интеграторы? :)
>>>Поскольку у нас не страна баранов, а страна советов - вот вам
>>>совет.
>>>Выбросьте linux и поставьте наконец Cisco 1700 (1720 можно купить на ebay
>>>за 140 долларов).
>>>И вы забудете о ваших страданиях навсегда.
>>Большое спасибо за совет.
>>А не подскажите, сколько одновременных подключений потянет эта модель?
>>
>>И найдётся ли на неё действующий сертификат CCЭ, а то как мы
>>её сдавать надзорным органам будем? :)
>
>Именно эта модель - увы, немного. Сколько именно, зависит от объёмов трафика.
>
>По поводу сертификатов - сертификат конкретно на данную линейку имеет номер ОС/1-СПД-132.
>Вообще, у Cisco с сертификатами всё хорошо. Сами подумайте, как иначе
>работали бы наши интеграторы? :)Дело в том что трафик у нас как раз маленький ( на GPRS особо не разгонишься ), а вот открытых коннектов нужно держать несколько сотен.
А насчёт сертификатов - я знаю что у Cisco всё хорошо, но вот всегда ли они продляют сертификаты на железо давно снятое с производства дремучего года? )
>>По поводу сертификатов - сертификат конкретно на данную линейку имеет номер ОС/1-СПД-132.
>>Вообще, у Cisco с сертификатами всё хорошо. Сами подумайте, как иначе
>>работали бы наши интеграторы? :)
>
>Дело в том что трафик у нас как раз маленький ( на
>GPRS особо не разгонишься ), а вот открытых коннектов нужно держать
>несколько сотен.
>
>А насчёт сертификатов - я знаю что у Cisco всё хорошо, но
>вот всегда ли они продляют сертификаты на железо давно снятое с
>производства дремучего года? )Ваша правда, этот сертификат не продлён :(
NAT-Traversal is considered to be experimental and unsafe if used with L2TP/IPsec (see section 5 "Security Considerations" of the "IPsec within UDP" IETF draft mentioned above)
>NAT-Traversal is considered to be experimental and unsafe if used with L2TP/IPsec
>(see section 5 "Security Considerations" of the "IPsec within UDP" IETF
>draft mentioned above)
И что именно вы хотели этим сказать? :)
>>NAT-Traversal is considered to be experimental and unsafe if used with L2TP/IPsec
>>(see section 5 "Security Considerations" of the "IPsec within UDP" IETF
>>draft mentioned above)
>
>
>И что именно вы хотели этим сказать? :)То, что если вы хотите VPN через NAT, то, на сегодняшний день, единственным безопасным решением является OpenVPN.
>>>NAT-Traversal is considered to be experimental and unsafe if used with L2TP/IPsec
>>>(see section 5 "Security Considerations" of the "IPsec within UDP" IETF
>>>draft mentioned above)
>>
>>
>>И что именно вы хотели этим сказать? :)
>
> То, что если вы хотите VPN через NAT, то, на
>сегодняшний день, единственным безопасным решением является OpenVPN.
Я хочу именно то, что я описал - успешное наложение патча на kernel-2.6.xx и демонстрацию работоспособности.
Сам патч находится вот здесь http://www.stinghorn.com/opensource/
( первый или второй )
Я осведомлен о возможных проблемах , но мне нужно именно L2TP через IPSEC NAT-T ( ESP-in-UDP )Кстати "unsafe" в приведенной вами цитате говорит лишь о возможности DOS одного авторизированого клиента IPSEC другим, вот и весь unsafe.
Обращайтесь к нам - поможем.
Возможен вариант оргинизации работоспособной конфигурации -
все точно как Вы хотите, с одной особенностью - вместо
патча для ядра, который был Вами упомянут, будет использован
аналогичный opensource патч (также обеспечивающий работу NAT-T)
от разработчиков openswan.Все это я могу (для первоначального тестирования) развернуть на одном из
своих development серверов с последующим переносом на ваш тестовый сервер.Сергей, sersm@bk.ru ICQ 6765478