IPSEC - prechod z ISA serveru

Josef Hrabec hrabec at naxo.net
Mon Apr 20 13:19:01 CEST 2009

Previous message: IPSEC - prechod z ISA serveru
Next message: IPSEC - prechod z ISA serveru
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

> Skoda jen, ze nerikas, jestli ten ping taky dopadne uspesne prijatou
> odpovedi.
> A celkove mi nejak uniklo, co presne ti vlastne nefunguje (pokud ten
> ping prochazi).

Omlouvam se, situace se ma tak. Z klienta odchazi echo paket, tento paket
je videt na internim interface routeru spravne jako prichozi. Na enc0 neni
videt zadny paket. Na externim interface jsou videt esp pakety jak chodi
sem a tam, tedy mezi externim interface FreeBSD a tim druhym vzdalenym
koncem. Ale na internim interface se jiz odpoved na vysilane echo pakety
neobjevi.

Stejne tak, vysilane echo pakety na externim rozhrani videt nejsou, co
znamena ze bud se jim podari nejak dostat do toho tunelu, nebo ze se
ztrati jeste nekde na BSD routeru. Nic mene zpet ke klientovi se nevrati
vubec zadny paket, tedy ani hlaseni o chybe.

> Abych rekl pravdu, IPSECu jsem nikdy neprisel moc na chut'

Ano, to ja take ne, ale problem je v tom, ze druha strana lezi v zahranici
a ja nemam moznost na druhe strane postavit tunel jinak. :-\
Druha strana je pro mne blackbox, nevim co tam maji za zarizeni. Informace
ktere mam k dispozici je stavajici funkcni nastaveni na tom ISA serveru,
ktery se pokousim nahradit.

> a co je maly problem u statickych zaznamu
> (ty proste staticky zapisu jinam, do konfigurace toho IPSEC tunelu), to
> je velky problem v pripade dynamickych routovacich daemonu, ktere mi na
> nejake IPSEC kaslou a routovat do jednotlivych IPSEC tunelu takhle nejde.

V mem pripade staci routovat staticky. Site na druhem konci tunelu znam
(dohromady je tam cca 20 ruznych rozsahu). A mozna ze problem bude prave v
routovani - mohu se prosim zeptat jake staticke konfigurace pro routovani
do IPSEC tunelu mas na mysli? Jak je vyrobit? Treba mi chybi prave
tohle...

> Takze, kdyz uz jsem nahodou nekde donucen IPSEC pouzivat (jako, ze se
> tomu vyhybam) tak zasadne v konfiguraci IP over IP-IP (tj. GIF) over
> IPSEC/ESP

GIF by byl urcite lepsi, ale protoze neznam IP adresy interniho rozhrani
toho blackboxu na druhe strane a v konfiguraci stavajiciho ISA serveru
nikde tyto IP napsany nejsou vyplyvami z toho, ze GIF pouzit nemuzu.
(ty zpropadene windows to zda se interne resi bez pouziti neceho podobneho
jako je GIF)


Jeste jednou diky,
Pepa.

Previous message: IPSEC - prechod z ISA serveru
Next message: IPSEC - prechod z ISA serveru
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list