Internet Info, s.r.o. Lupa Měšec Podnikatel Root Zdroják DigiZone Slunečnice Vitalia TopDrive KupDnes Navrcholu NovýTarif Dobrý web Weblogy Woko Jagg Computer.cz SK: MojeLinky

Hlavní navigace

Elektronická pošta obrázek k článku Moderní přístup k mailu s moderním klientem

Moderní přístup k mailu s moderním klientem

PDA a mobily obrázek k článku Zrušte hlasový tarif a volejte levněji přes data

Zrušte hlasový tarif a volejte levněji přes data

Periferie obrázek k článku První praktické zkušenosti s Raspberry Pi

První praktické zkušenosti s Raspberry Pi

Linux obrázek k článku Linux Mint přináší nové desktopové prostředí

Linux Mint přináší nové desktopové prostředí

Root.cz  »  Síťové prvky  »  Tuneluji, tuneluješ, tunelujeme: IPSec  »  Názory  »  Vlákno

Vlákno názorů k článku
Tuneluji, tuneluješ, tunelujeme: IPSec

CIJOML
CIJOML (neregistrovaný)
17. 7. 2003 6:35

wifi maskarada a ipsec

mno dobre a co kdyz jsem na wifi, za maskaradou a mam na netu server pres ktery bych chtel jet. tzn kdykoliv pustim muj domaci stroj, tak aby nahodil ipsec na ten stroj na netu a tim padem sifroval komunikaci az na ten stroj. ten stroj ale nesmi automaticky navazovat spojeni ke me jen pasivne cekat na koneksi ode me.

Dale v clanku jsem nejak nenasel jesli ipsec jede nad udp nebo tcp

Odpovědět
Michal Kara
Michal Kara (neregistrovaný)
17. 7. 2003 7:31

Re: wifi maskarada a ipsec

Dejte auto=add. Tunel bude pridan, pokud se jej nekdo pokusi nahodit (i zvenku), tak nabehne, ale IPSec na teto masine jej sam startovat nebude.

Ad protokol: Mozna jste to tam nenasel proto, ze nejede ani nad jednim, alebrz nad dvema vlastnimi IP protokoly (ESP a AH) :-)

Odpovědět
Michal Kara
Michal Kara (neregistrovaný)
17. 7. 2003 9:42

Re: wifi maskarada a ipsec

Ale s IPSecem pres nat budete mit problemy. Viz http://www.cisco.com/warp/public/759/ipj_3-4/ipj_3-4_nat.html

Odpovědět
Michal Ludvig
Michal Ludvig (neregistrovaný)
17. 7. 2003 10:39

Re: wifi maskarada a ipsec

Je mozne pouzit NAT-T (NAT traversal) mode, ktery bali ESP a AH pakety do UDP, ktere jiz NATem projdou. Samozrejme je nutne mit podporu na obou stranach tunelu.

Taky stoji za zminku Super FreeS/WAN - tedy hodne opatchovana verze freeswanu, ktera obsahuje mj. i ten NAT-T, dal podporu pro X.509 certifikaty, a mnoho dalsich uzitechnych vychytavek:

http://www.freeswan.ca/

Odpovědět
Peter Ronai
Peter Ronai (neregistrovaný)
17. 7. 2003 11:27

Re: wifi maskarada a ipsec

No ja by som dodal ze to nie je celkom pravda. Na negociaciu klucov sa pouziva IKE co je UDP port 500 a potom sa pouziva bude ESP alebo zastaralejsie AH. Komercne implementacia vacsinou AH nepouzivaju alebo snazia sa nepouzivat. V pripadoch kde nie je mozne pouzivat L2 protokoly, je mozna UDP encapsulacia a teda je mozne mat aj IPSEC cisto cez UDP.

Odpovědět
dasno
dasno (neregistrovaný)
17. 7. 2003 18:14

Re: ESP alebo zastaralejsie AH?

Jedna sa o ciastkove informacie, ktore by si jeden mohol zle vysvetlit...

Hlavny rozdiel medzi ESP a AH je, ze:
ESP = "!confidentiality guarantee! for packets, by encrypting packets..."
a AH = "provides !authenticity guarantee! for packets, by attaching strong crypto checksum to packets...". Teda zalezi len na tom, co povazujeme za bezpecnejsie, ci zakryptovat cely packet, alebo len pridavat kryptovane checksumy. Stale ale mame na vyber aj ESP aj AH!

Neda sa teda jednoznacne povedat co je zastaralejsie. ?Mozno len vzhladom na casovu chronologiu ich vzniku?

zdroj: www.netbsd.org/Documentation/network/ipsec/

Odpovědět
Zasílat nově přidané příspěvky e-mailem        
Přidat názor