---

Jeg har et hulens bøvl med at få følgende til at køre:

Et virksomhedsnetværk 172.16.x.x/16

En Openbsd firewall der kører ipf (filtrering) og nat
(adresse-oversættelse), dvs 172.16.x.1 internt og xxx.xxx.xxx.xxx externt,
og som oversætter adresser fra det private segment til den offentlige
adresse.

Jeg er ved at forsøge at få medarbejderes hjemmearbejdspladser koblet op på
virksomhedens netværk med en slags vpn-løsning. Jeg bruger den isakmp der er
indbygget i w2k-prof, og isakmpd på min obsd firewall.

Så vidt jeg har forstået _skal_ man lave tunnel mode, hvis man vil bruge
isakmpd sammen med nat. Har nogle en mening om dette? For det andet: Ved
nogle, om man i det hele taget kan få windows2000 til at virke i tunnel
mode, hvis de er enkeltstående maskiner (dem ude hos medarbejderne). Jeg har
hørt det muligvis var et problem.

Hjææælp,

mvh /Søren Gellert

---

Søren Gellert <soeren.gellert@ofir.dk> wrote:
>Jeg har et hulens bøvl med at få følgende til at køre:
>
>Et virksomhedsnetværk 172.16.x.x/16
>
>En Openbsd firewall der kører ipf (filtrering) og nat
>(adresse-oversættelse), dvs 172.16.x.1 internt og xxx.xxx.xxx.xxx externt,
>og som oversætter adresser fra det private segment til den offentlige
>adresse.

Du skriver intet om hvad du har gjort, hvordan din config ser ud eller
praecist hvad der fejler, saa det bedste jeg kan goere er at pege dig paa

http://www.openbsd.org/faq/faq13.html

som er en fuld gennemgang af et VPN setup. Koerer du 2.8-release?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk> wrote in message
news:slrn9eb6av.11f7.a@F-Control.Area51.DK...

> Du skriver intet om hvad du har gjort, hvordan din config ser ud eller
> praecist hvad der fejler, saa det bedste jeg kan goere er at pege dig paa
>
> http://www.openbsd.org/faq/faq13.html
>
> som er en fuld gennemgang af et VPN setup. Koerer du 2.8-release?
>
Tak for henvisningen. Jeg kører 2.8 som er patched til current (2.8
ipsec/isakmpd døde konstant). Men før vi kommer langt ind i logfiler,
opsætning m.v. ville jeg gerne have svar på et par dumme spørgsmål, idet jeg
er i tvivl om, hvorvidt jeg i det hele taget har forstået tingene rigtigt:

1. Hvis opsætningen er således, at bare en af "enderne" i vpn-forbindelsen
er en route til et subnet, er det så ikke sådan, at man skal bruge tunnel
mode?

2. Kan ipsec tunnel mode spille sammen med NAT? Hvad hvis det er på den
samme maskine?

3. Er ipsec overhovedet implementeret i W2k således, at den som
enkeltstående fjern arbejdsstation kan køre i tunnel mode?

---

Søren Gellert <soeren.gellert@ofir.dk> wrote:
>2. Kan ipsec tunnel mode spille sammen med NAT? Hvad hvis det er på den
>samme maskine?

Ja, ofte er det i den konfiguration det bliver brugt, at to gateway maskiner
hvert med et netvaerk bag sig taler sammen.

Jeg ved intet om (VPN i) W2K.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/