terapeut Posted November 14, 2003 Posted November 14, 2003 Вот завернул я траффик между Windows-клиентами и VPN-сервером (FreeBSD MPD) в IPSec. Тоесть прежде чем поднять VPN-адаптер, клиенту приходиться начать шифрованное IPSec соединение с VPN-сервером, иначе он (сервер) с клиентом даже разговаривать не будет (по обычному IP). Ну а потом уже там внутре - обычный PPTP. Впрочем это уже много раз везде описано, но вот вопрос - я вообще-то хотел-бы в идеале VPN-адаптер не использовать, а просто шифровать участок между клиентской машиной и роутером. Возможно ли это организовать с IPSec? Я ничего такого нарыть не смог и у меня есть подозрение, что это не возможно идеологически из самого принципа работы IP. Не знаю как сформулировать точнее - боюсь глупость сказать =) Но уповая на своё махровое невежество в IPSec, всё-же надеюсь на чудо. Просветите - возможно такое али нет? Тоесть чтобы IPSec шифровал траффик не от клиента до сервера, а только от клиента до роутера - хотя-бы до первого, а в идеале - чтобы произвольный промежуточный роутер (например пограничный между локалкой и инетом) мог сказать клиенту - "а давай-ка мы с тобой, дружок будем пакетики наши шифровать". И чтоб дальше этот роутер уже траффик толкал нешифрованный - в инет. Если вопрос, как я подозреваю дурацкий - большая просьба объяснить на пальцах - почему. Вставить ник Quote
kentturbo Posted November 16, 2003 Posted November 16, 2003 ищи информацию о "Opportunistic Encryption" Вставить ник Quote
Arkadi, Goblins Chief Posted November 17, 2003 Posted November 17, 2003 ищи информацию о "Opportunistic Encryption" Можешь хоть в трёх словах рассказать что там сказано? Суть. Вставить ник Quote
terapeut Posted November 17, 2003 Author Posted November 17, 2003 Насколько я понял - это когда любые два произвольно взятых компьютера (но с настроенным Opportunistic Encryption) могут общаться по шифрованному каналу, без всякой предварительной настройки администраторами. Тоесть до этого компьютеры вообще друг о друге ничего не знали и их админы тоже, а как только пинг от одного к другому пошёл - так сразу зашифрованным. Информация, необходимая для установления шифрованного соединения берётся из DNS, тоесть она должна быть туда помещёна тем, кто настраивал соответствующую машину с Opportunistic Encryption. Но вроде можно и без этого - я не совсем ещё разобрался. И вроде как если на пути траффика между двух машин, шифровать не уиеющих, попадётся два роутера с поддержкой Opportunistic Encryption - то они зашифруют траффик на участке между собой. Вот только не понял - эти два роутера должны находиться рядом или между ними ещё могут быть обычные роутеры? Также пока не разобрался - будет ли поддерживать это дело рабочая станция например Windows2000 или на неё надо ставить дополнительный софт для этого Opportunistic Encryption? Ещё такой вопрос - какие-нибудь решения кроме FreeS/WAN поддерживают Opportunistic Encryption? Мне интересно под FreeBSD, и Windows. В общем буду рыть дальше, если кто чего подскажет по делу - заранее спасибо. В процессе осознания вопроса буду постить сюда впечатления =) Вставить ник Quote
XiBlue Posted November 21, 2003 Posted November 21, 2003 У Allied Telesyn есть роутеры которые поддерживают такое дело. Посмотри у них на сайте. На память не помню. Вставить ник Quote
terapeut Posted November 21, 2003 Author Posted November 21, 2003 Это наверное коммутатор третьего уровня? А они обычно портов по 24 и довольно дорогие, и если в месте установки только два кабеля - ставить туда 24 портовый свич как-то избыточно =) А как хоть эта функция называется? Вставить ник Quote
XiBlue Posted November 24, 2003 Posted November 24, 2003 AT-RG600 family - так называемые "шлюзы для домашнего применения", зайди на сайт http://www.alliedtelesyn.ru/ . Там все про него написано. Они недорогие. Правда на них телефония есть, но это не страшно. Firewall с NAT`ом. Много всего... Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.