Jump to content
Калькуляторы

Шифрую IPSec'ом от клиента до сервера, а до роутера можно?

Вот завернул я траффик между Windows-клиентами и VPN-сервером (FreeBSD MPD) в IPSec. Тоесть прежде чем поднять VPN-адаптер, клиенту приходиться начать шифрованное IPSec соединение с VPN-сервером, иначе он (сервер) с клиентом даже разговаривать не будет (по обычному IP). Ну а потом уже там внутре - обычный PPTP. Впрочем это уже много раз везде описано, но вот вопрос - я вообще-то хотел-бы в идеале VPN-адаптер не использовать, а просто шифровать участок между клиентской машиной и роутером. Возможно ли это организовать с IPSec? Я ничего такого нарыть не смог и у меня есть подозрение, что это не возможно идеологически из самого принципа работы IP. Не знаю как сформулировать точнее - боюсь глупость сказать =) Но уповая на своё махровое невежество в IPSec, всё-же надеюсь на чудо. Просветите - возможно такое али нет? Тоесть чтобы IPSec шифровал траффик не от клиента до сервера, а только от клиента до роутера - хотя-бы до первого, а в идеале - чтобы произвольный промежуточный роутер (например пограничный между локалкой и инетом) мог сказать клиенту - "а давай-ка мы с тобой, дружок будем пакетики наши шифровать". И чтоб дальше этот роутер уже траффик толкал нешифрованный - в инет.

 

Если вопрос, как я подозреваю дурацкий - большая просьба объяснить на пальцах - почему.

Share this post


Link to post
Share on other sites

ищи информацию о "Opportunistic Encryption"

 

Можешь хоть в трёх словах рассказать что там сказано? Суть.

Share this post


Link to post
Share on other sites

Насколько я понял - это когда любые два произвольно взятых компьютера (но с настроенным Opportunistic Encryption) могут общаться по шифрованному каналу, без всякой предварительной настройки администраторами. Тоесть до этого компьютеры вообще друг о друге ничего не знали и их админы тоже, а как только пинг от одного к другому пошёл - так сразу зашифрованным. Информация, необходимая для установления шифрованного соединения берётся из DNS, тоесть она должна быть туда помещёна тем, кто настраивал соответствующую машину с Opportunistic Encryption. Но вроде можно и без этого - я не совсем ещё разобрался. И вроде как если на пути траффика между двух машин, шифровать не уиеющих, попадётся два роутера с поддержкой Opportunistic Encryption - то они зашифруют траффик на участке между собой. Вот только не понял - эти два роутера должны находиться рядом или между ними ещё могут быть обычные роутеры? Также пока не разобрался - будет ли поддерживать это дело рабочая станция например Windows2000 или на неё надо ставить дополнительный софт для этого Opportunistic Encryption?

Ещё такой вопрос - какие-нибудь решения кроме FreeS/WAN поддерживают Opportunistic Encryption? Мне интересно под FreeBSD, и Windows.

В общем буду рыть дальше, если кто чего подскажет по делу - заранее спасибо. В процессе осознания вопроса буду постить сюда впечатления =)

Share this post


Link to post
Share on other sites

У Allied Telesyn есть роутеры которые поддерживают такое дело. Посмотри у них на сайте. На память не помню.

Share this post


Link to post
Share on other sites

Это наверное коммутатор третьего уровня? А они обычно портов по 24 и довольно дорогие, и если в месте установки только два кабеля - ставить туда 24 портовый свич как-то избыточно =) А как хоть эта функция называется?

Share this post


Link to post
Share on other sites

AT-RG600 family - так называемые "шлюзы для домашнего применения", зайди на сайт http://www.alliedtelesyn.ru/ . Там все про него написано. Они недорогие. Правда на них телефония есть, но это не страшно. Firewall с NAT`ом. Много всего...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.