terapeut Posted November 14, 2003 · Report post Вот завернул я траффик между Windows-клиентами и VPN-сервером (FreeBSD MPD) в IPSec. Тоесть прежде чем поднять VPN-адаптер, клиенту приходиться начать шифрованное IPSec соединение с VPN-сервером, иначе он (сервер) с клиентом даже разговаривать не будет (по обычному IP). Ну а потом уже там внутре - обычный PPTP. Впрочем это уже много раз везде описано, но вот вопрос - я вообще-то хотел-бы в идеале VPN-адаптер не использовать, а просто шифровать участок между клиентской машиной и роутером. Возможно ли это организовать с IPSec? Я ничего такого нарыть не смог и у меня есть подозрение, что это не возможно идеологически из самого принципа работы IP. Не знаю как сформулировать точнее - боюсь глупость сказать =) Но уповая на своё махровое невежество в IPSec, всё-же надеюсь на чудо. Просветите - возможно такое али нет? Тоесть чтобы IPSec шифровал траффик не от клиента до сервера, а только от клиента до роутера - хотя-бы до первого, а в идеале - чтобы произвольный промежуточный роутер (например пограничный между локалкой и инетом) мог сказать клиенту - "а давай-ка мы с тобой, дружок будем пакетики наши шифровать". И чтоб дальше этот роутер уже траффик толкал нешифрованный - в инет. Если вопрос, как я подозреваю дурацкий - большая просьба объяснить на пальцах - почему. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kentturbo Posted November 16, 2003 · Report post ищи информацию о "Opportunistic Encryption" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Arkadi, Goblins Chief Posted November 17, 2003 · Report post ищи информацию о "Opportunistic Encryption" Можешь хоть в трёх словах рассказать что там сказано? Суть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
terapeut Posted November 17, 2003 · Report post Насколько я понял - это когда любые два произвольно взятых компьютера (но с настроенным Opportunistic Encryption) могут общаться по шифрованному каналу, без всякой предварительной настройки администраторами. Тоесть до этого компьютеры вообще друг о друге ничего не знали и их админы тоже, а как только пинг от одного к другому пошёл - так сразу зашифрованным. Информация, необходимая для установления шифрованного соединения берётся из DNS, тоесть она должна быть туда помещёна тем, кто настраивал соответствующую машину с Opportunistic Encryption. Но вроде можно и без этого - я не совсем ещё разобрался. И вроде как если на пути траффика между двух машин, шифровать не уиеющих, попадётся два роутера с поддержкой Opportunistic Encryption - то они зашифруют траффик на участке между собой. Вот только не понял - эти два роутера должны находиться рядом или между ними ещё могут быть обычные роутеры? Также пока не разобрался - будет ли поддерживать это дело рабочая станция например Windows2000 или на неё надо ставить дополнительный софт для этого Opportunistic Encryption? Ещё такой вопрос - какие-нибудь решения кроме FreeS/WAN поддерживают Opportunistic Encryption? Мне интересно под FreeBSD, и Windows. В общем буду рыть дальше, если кто чего подскажет по делу - заранее спасибо. В процессе осознания вопроса буду постить сюда впечатления =) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
XiBlue Posted November 21, 2003 · Report post У Allied Telesyn есть роутеры которые поддерживают такое дело. Посмотри у них на сайте. На память не помню. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
terapeut Posted November 21, 2003 · Report post Это наверное коммутатор третьего уровня? А они обычно портов по 24 и довольно дорогие, и если в месте установки только два кабеля - ставить туда 24 портовый свич как-то избыточно =) А как хоть эта функция называется? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
XiBlue Posted November 24, 2003 · Report post AT-RG600 family - так называемые "шлюзы для домашнего применения", зайди на сайт http://www.alliedtelesyn.ru/ . Там все про него написано. Они недорогие. Правда на них телефония есть, но это не страшно. Firewall с NAT`ом. Много всего... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...