Anders Brabæk wrote:
> "Michael Jenner" <mj@kom.auc.dk> wrote in message
> news:3CFE1782.7060204@kom.auc.dk...
>
>>Nogle som har erfaring med win2k og IPsec?
>>
>>Jeg overvejer at bruge IPsec fra PC (klient) til VPN/IPsec
>>server/gateway (Linux baseret) til et LAN som forbindes med Internet via
>>en public IP adresse (som er tildelt til firewall/VPN-gateway'ens
>>externe ethernet kort). Udgående trafik NAT'es, men her er det jo også
>>indgående trafik som køres via VPN-gateway'en så mon ikke det kan lade
>>sig gøre?
>>
>>Nogle som kan ridse en fornuftig opsætning op (som win2k understøtter) -
>>herunder hvordan håndteres nøgler på en acceptabel måde osv osv.
>>
>>Hvordan sørger man for at win2k klienten kan "se" de forskellige hosts
>>på LAN'et? (Noget med en hosts fil eller?)
>>
>
>
> Jeg kan ikke følge helt med i opsætningen men det er også tideligt søndag
>
> Hver opmærksom på at du ikke kan NATte IPsec fra/til Windows 2000 idet IP
> adressen er et element i den algoritme der anvendes til
> kryptering/dekryptering.
Ok, den firewall som NAT'er til det lokale net kører også IPsec
gateway'en så den kan så vidt jeg kan se godt køre uden om NAT
funktionen - problemet opstår "kun" hvis klienten NAT'es - og det gør
den desværre i mange tilfælde - f.eks. PC'ere på privat net med kun en
public IP.
> En løsning er at tunle din tunnel: etablere en PPTP
> tunnel og så køre L2TP over IPsec for så er du NAT fri.
Jeg er ikke helt med - lidt "grafik" kunne måske hjælpe. Er det noget i
stil med:
L2TP -> IPsec -> PPTP -> IP -> Ethernet/Whatever -> IP -> PPTP -> IPsec
-> L2TP
eller?
Og hvilken software skal der til for at det kan bruges? Er det standard
i win2k?
> Windows.NET/Windows 2002 server understøtter IPsec i et NAT'tet miljø (jeg
> har ikke fået undersøgt hvordan de har løst det men det har de).
> Hvordan klient skal være sat op afhænger af hvordan den kommunikere med de
> andre maskiner. der er som udgangspunkt 3 forskellige standards
> opsætningsmuligheder: Client, Server og Secure Server. Client understøtter
> IPsec hvis spurgt, Server beder om det men accepterer ikke IPsec
> kommunikation og Secure Server kræver det og kan ikke kommunikere uden.
Jeg er interesseret i en IPsec gateway på et LAN. Man skal kunne tilgå
LAN'et udefra (via IPsec) - men man skal også kunne bruge PC'en på alm.
vis. Er det muligt at implementere en løsning hvor man (let) kan skifte
mellem at bruge IPsec til LAN udefra og alm. brug - evt. en løsning hvor
man kan gøre begge dele samtidig?
Vil det sige jeg skal vælge Client - og "bede" om IPsec når jeg ønsker
at tilgå LAN'et udefra? Og hvordan "beder" man om IPsec?
LAN'et kører i dag med intern dns server (bind på Linux). Kan man,
udefra, snakke med den for at lave navne-resolution når man går via
IPsec? Er der bedre (sikkerhedsmæssigt) løsninger som kan anbefales?
Jeg har læst at man skal opdatere en standard win2k for at få stærk
kryptering - 3des istedet for single-des. Andre råd i forbindelse med
brug af win2k og ipsec?
Mvh Michael