/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
IPsec igen
Fra : Niels Callesøe


Dato : 01-05-04 15:38

Jeg forsøger stadig at få nogle maskiner på netværket over en usikker
forbindelse[0]. Sidste gang jeg skrev et indlæg om det, fik jeg
anbefalet at anskaffe et ekstra NIC, så det har jeg nu gjort.

Jeg har et netværk der nu ser således ud[1]:

(internet sky)
|
|
62.242.21.9/30
[router, SS5781]
192.168.1.1/24
|
|---------- 192.168.1.200(dc0)[server, FreeBSD4.9]
| 192.168.3.1/30(xl0)
| |
| 192.168.3.2/30
| [wireless access point, NQ-9000]
| 192.168.2.1/24
192.168.1.10-100 |
| 192.168.2.10-100
[et antal workstations] |
[et antal wireless workstations]


FreeBSD maskinen er konfigureret til at route trafik mellem sine
interfaces, og det virker som sådan også fint nok[2]. Maskiner på
wireless-benet kan fint forbinde til internet og til serveren.

Det jeg gerne vil opnå er, at sikre forbindelsen mellem wireless-
klienterne og FreeBSD maskinen således at jeg ikke behøver stole på
hverken access point eller trafik i luften (der pt. er WEP-krypteret).

Jeg har så forestillet mig at køre IPsec/transport mellem klienterne og
serveren, men andre forslag modtages gerne[3].

Desværre kan jeg ikke finde noget dokumentation der dækker præcis det
jeg gerne vil. I den dokumentation jeg har kunne finde, kan jeg
konstatere at jeg skal have compilet kernen med understøttelse for
IPsec (done), jeg skal have installeret racoon for at kunne snakke med
Windows maskiner (done) og jeg skal have defineret nogle regler for
hvilken trafik der skal IPsec-krypteres. Og det er her kæden hopper af.
Jeg har forsøgt med:

setkey -c << EOF
spdadd 192.168.3.1/32 192.168.3.2/32 any -P out ipsec
esp/transport/192.168.3.1-192.168.3.2/require;
spdadd 192.168.3.2/32 192.168.3.1/32 any -P in ipsec
esp/transport/192.168.3.2-192.168.3.1/require;
EOF

Men det forhindrer så vidt jeg kan se kun trafik der faktisk ender på
addressen 192.168.3.1. Dvs, med ovenstående kan jeg ikke længere pinge
192.168.3.1 fra en wireless klient, men jeg kan sagtens nå internettet
stadigvæk (og pinge 192.168.1.200 i øvrigt).

Da jeg ikke helt kan gennemskue hvad jeg skal gribe eller gøre i
herfra, ville jeg blive meget taknemmelig hvis nogen kunne komme med et
forslag til en løsning, eller måske endda et konfigurationsforslag til
setkey.

Jeg har sat FUT dk.edb.system.unix, men følger alle tre grupper, så
svar gerne i den mest relevante gruppe ifht. svaret.



[0]: Wireless, men det burde være underordnet[4].
[1]: $ ifconfig
dc0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 192.168.1.200 netmask 0xffffff00 broadcast 192.168.1.255
ether 00:50:bf:9c:07:f2
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
xl0: flags=8943<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=3<rxcsum,txcsum>
inet 192.168.3.1 netmask 0xfffffffc broadcast 192.168.3.3
ether 00:04:76:a1:e5:a5
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
[2]: Efter jeg fik fortalt routeren hvor den skulle putte retur-trafik
hen.
[3]: Jeg har overvejet en proxy-løsning, ala Hotspot, hvis alt andet
fejler.
[4]: Derfor har jeg ikke postet til wireless-gruppen, den del virker
fint.

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Bogus virus warnings are spam. Reject them using Postfix:
http://www.t29.dk/antiantivirus.txt

 
 
Martin Bilgrav (06-05-2004)
Kommentar
Fra : Martin Bilgrav


Dato : 06-05-04 08:50

Hejsa

(undskyld topposting)
Som jeg tolker det du skriver så encrypter du forbindelsen mellem AP og
Server-NIC.
Det jeg ville gøre var at putte en sw-VPN client på alle Wave-LAN PC'ere, og
opsætte Server-NIC til kun at modtage IPSEC traffik.
På denne måde er du sikker på at det kun er kendte clients der er på gennem
din server.
Noget user auth ville også være på sin plads i samme forbindelse.


HTH
Martin Bilgrav

"Niels Callesøe" <pfy@nntp.dk> wrote in message
news:Xns94DCA9204E1F8k5j6h4jk3@62.243.74.163...
> Jeg forsøger stadig at få nogle maskiner på netværket over en usikker
> forbindelse[0]. Sidste gang jeg skrev et indlæg om det, fik jeg
> anbefalet at anskaffe et ekstra NIC, så det har jeg nu gjort.
>
> Jeg har et netværk der nu ser således ud[1]:
>
> (internet sky)
> |
> |
> 62.242.21.9/30
> [router, SS5781]
> 192.168.1.1/24
> |
> |---------- 192.168.1.200(dc0)[server, FreeBSD4.9]
> | 192.168.3.1/30(xl0)
> | |
> | 192.168.3.2/30
> | [wireless access point, NQ-9000]
> | 192.168.2.1/24
> 192.168.1.10-100 |
> | 192.168.2.10-100
> [et antal workstations] |
> [et antal wireless workstations]
>
>
> FreeBSD maskinen er konfigureret til at route trafik mellem sine
> interfaces, og det virker som sådan også fint nok[2]. Maskiner på
> wireless-benet kan fint forbinde til internet og til serveren.
>
> Det jeg gerne vil opnå er, at sikre forbindelsen mellem wireless-
> klienterne og FreeBSD maskinen således at jeg ikke behøver stole på
> hverken access point eller trafik i luften (der pt. er WEP-krypteret).
>
> Jeg har så forestillet mig at køre IPsec/transport mellem klienterne og
> serveren, men andre forslag modtages gerne[3].
>
> Desværre kan jeg ikke finde noget dokumentation der dækker præcis det
> jeg gerne vil. I den dokumentation jeg har kunne finde, kan jeg
> konstatere at jeg skal have compilet kernen med understøttelse for
> IPsec (done), jeg skal have installeret racoon for at kunne snakke med
> Windows maskiner (done) og jeg skal have defineret nogle regler for
> hvilken trafik der skal IPsec-krypteres. Og det er her kæden hopper af.
> Jeg har forsøgt med:
>
> setkey -c << EOF
> spdadd 192.168.3.1/32 192.168.3.2/32 any -P out ipsec
> esp/transport/192.168.3.1-192.168.3.2/require;
> spdadd 192.168.3.2/32 192.168.3.1/32 any -P in ipsec
> esp/transport/192.168.3.2-192.168.3.1/require;
> EOF
>
> Men det forhindrer så vidt jeg kan se kun trafik der faktisk ender på
> addressen 192.168.3.1. Dvs, med ovenstående kan jeg ikke længere pinge
> 192.168.3.1 fra en wireless klient, men jeg kan sagtens nå internettet
> stadigvæk (og pinge 192.168.1.200 i øvrigt).
>
> Da jeg ikke helt kan gennemskue hvad jeg skal gribe eller gøre i
> herfra, ville jeg blive meget taknemmelig hvis nogen kunne komme med et
> forslag til en løsning, eller måske endda et konfigurationsforslag til
> setkey.
>
> Jeg har sat FUT dk.edb.system.unix, men følger alle tre grupper, så
> svar gerne i den mest relevante gruppe ifht. svaret.
>
>
>
> [0]: Wireless, men det burde være underordnet[4].
> [1]: $ ifconfig
> dc0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
> inet 192.168.1.200 netmask 0xffffff00 broadcast 192.168.1.255
> ether 00:50:bf:9c:07:f2
> media: Ethernet autoselect (100baseTX <full-duplex>)
> status: active
> xl0: flags=8943<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
> options=3<rxcsum,txcsum>
> inet 192.168.3.1 netmask 0xfffffffc broadcast 192.168.3.3
> ether 00:04:76:a1:e5:a5
> media: Ethernet autoselect (100baseTX <full-duplex>)
> status: active
> [2]: Efter jeg fik fortalt routeren hvor den skulle putte retur-trafik
> hen.
> [3]: Jeg har overvejet en proxy-løsning, ala Hotspot, hvis alt andet
> fejler.
> [4]: Derfor har jeg ikke postet til wireless-gruppen, den del virker
> fint.
>
> --
> Niels Callesøe - dk pfy
> pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
> Bogus virus warnings are spam. Reject them using Postfix:
> http://www.t29.dk/antiantivirus.txt



Niels Callesøe (06-05-2004)
Kommentar
Fra : Niels Callesøe


Dato : 06-05-04 11:46

Martin Bilgrav wrote:

> Som jeg tolker det du skriver så encrypter du forbindelsen mellem
> AP og Server-NIC.

Mjaeh, det gør jeg ikke engang, for den trafik der passerer mellem AP
og server er jo også den trafik de øvrige maskiner sender. Men som
sagt, jeg er klar over at den nuværende konfiguration er i hegnet.

> Det jeg ville gøre var at putte en sw-VPN client på alle Wave-LAN
> PC'ere,

Tjaeh, hvis jeg ikke kan finde ud af at anvende ren IP-sec, så må jeg
jo kigge på sådan en løsning. Har du et forslag til en klient/server
pakke?

> og opsætte Server-NIC til kun at modtage IPSEC traffik.

Jotak, men hvordan?

> På denne måde er du sikker på at det kun er kendte clients der er
> på gennem din server.
> Noget user auth ville også være på sin plads i samme forbindelse.

Måske. Men det er ikke fokus pt. En ting af gangen.

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Bogus virus warnings are spam. Reject them using Postfix:
http://www.t29.dk/antiantivirus.txt

Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408934
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste