[terapeut]

Вот завернул я траффик между Windows-клиентами и VPN-сервером (FreeBSD MPD) в IPSec. Тоесть прежде чем поднять VPN-адаптер, клиенту приходиться начать шифрованное IPSec соединение с VPN-сервером, иначе он (сервер) с клиентом даже разговаривать не будет (по обычному IP). Ну а потом уже там внутре - обычный PPTP. Впрочем это уже много раз везде описано, но вот вопрос - я вообще-то хотел-бы в идеале VPN-адаптер не использовать, а просто шифровать участок между клиентской машиной и роутером. Возможно ли это организовать с IPSec? Я ничего такого нарыть не смог и у меня есть подозрение, что это не возможно идеологически из самого принципа работы IP. Не знаю как сформулировать точнее - боюсь глупость сказать =) Но уповая на своё махровое невежество в IPSec, всё-же надеюсь на чудо. Просветите - возможно такое али нет? Тоесть чтобы IPSec шифровал траффик не от клиента до сервера, а только от клиента до роутера - хотя-бы до первого, а в идеале - чтобы произвольный промежуточный роутер (например пограничный между локалкой и инетом) мог сказать клиенту - "а давай-ка мы с тобой, дружок будем пакетики наши шифровать". И чтоб дальше этот роутер уже траффик толкал нешифрованный - в инет.

 

Если вопрос, как я подозреваю дурацкий - большая просьба объяснить на пальцах - почему.

[kentturbo]

ищи информацию о "Opportunistic Encryption"

[Arkadi, Goblins Chief]

ищи информацию о "Opportunistic Encryption"

 

Можешь хоть в трёх словах рассказать что там сказано? Суть.

[terapeut]

Насколько я понял - это когда любые два произвольно взятых компьютера (но с настроенным Opportunistic Encryption) могут общаться по шифрованному каналу, без всякой предварительной настройки администраторами. Тоесть до этого компьютеры вообще друг о друге ничего не знали и их админы тоже, а как только пинг от одного к другому пошёл - так сразу зашифрованным. Информация, необходимая для установления шифрованного соединения берётся из DNS, тоесть она должна быть туда помещёна тем, кто настраивал соответствующую машину с Opportunistic Encryption. Но вроде можно и без этого - я не совсем ещё разобрался. И вроде как если на пути траффика между двух машин, шифровать не уиеющих, попадётся два роутера с поддержкой Opportunistic Encryption - то они зашифруют траффик на участке между собой. Вот только не понял - эти два роутера должны находиться рядом или между ними ещё могут быть обычные роутеры? Также пока не разобрался - будет ли поддерживать это дело рабочая станция например Windows2000 или на неё надо ставить дополнительный софт для этого Opportunistic Encryption?

Ещё такой вопрос - какие-нибудь решения кроме FreeS/WAN поддерживают Opportunistic Encryption? Мне интересно под FreeBSD, и Windows.

В общем буду рыть дальше, если кто чего подскажет по делу - заранее спасибо. В процессе осознания вопроса буду постить сюда впечатления =)

[XiBlue]

У Allied Telesyn есть роутеры которые поддерживают такое дело. Посмотри у них на сайте. На память не помню.

[terapeut]

Это наверное коммутатор третьего уровня? А они обычно портов по 24 и довольно дорогие, и если в месте установки только два кабеля - ставить туда 24 портовый свич как-то избыточно =) А как хоть эта функция называется?

[XiBlue]

AT-RG600 family - так называемые "шлюзы для домашнего применения", зайди на сайт http://www.alliedtelesyn.ru/ . Там все про него написано. Они недорогие. Правда на них телефония есть, но это не страшно. Firewall с NAT`ом. Много всего...