Vlákno názorů k článku Eurotel Data Expres: den první od Specialista - Chtel bych podotknout ke vsem nazorum ohledne funkcnosti/nefunkcnosti...

Chtel bych podotknout ke vsem nazorum ohledne funkcnosti/nefunkcnosti IP VPN pres ET Data Express. PPTP nechodi principielne, protoze ET pouziva NAPT a PPTP pouziva pro komunikaci jeden TCP port a protokol 47 (NAT by tedy chodil jen pro jednoho prvniho uzivatele). Cisty IPSec jako takovy chodit nemuze, protoze vyzaduje na obou koncich verejne adresy (nebudu rozepisovat proc). Existuje reseni a tim je prave UDP podpora pro IPSec, coz je rozsireni standardu o moznost komunikace pouze pres UDP port 500 (neni tedy potreba komunikace pres protokol 50, 51 a verejnych IP na obou koncich komunikace). A protoze se jedna ciste o UDP komunikaci, NAPT zabere. Toto rozsireni podporuje drtiva vetsina komercnich produktu s podporou IPSecu, ve Windows 98/2k/XP jako klient je podpora po nahrani aktualizace, na strane serveru zase po patricnych upravach chodi Windows servery nebo Linux (kombinace FreeSWAN, l2tpd, PPPd...).
Co je zde napsano neni pouze teorie, ale prakticky jsem to pro potvrzeni pres ET Data Express i odzkousel.

Nebyl byste to dobroty a nehodil sem link na tu aktualizaci pro windows?

Dane, je to na http://support.microsoft.com/default.aspx?scid=kb;enus;818043

bohuzel nic z toho, co popisujete, mi nechodi. mohl byste vysvětlit postup, abych věděl, co dělám špatně?

Diky,

nasel jsem o tom povidani i na http://ipsec.math.ucla.edu/services/ipsec-windows.html, zitra to otestuju.

Update pro IPSec od Microsoftu je urcen pro klienty, na strane serveru tvrdi Microsoft, ze tento zpusob komunikace podporuje pouze Server 2003, pro W2k server se s podporou nepocita. Zkousel jste i W2k server a pokud ano, jak jste jej konfiguroval?

Linuxový Freeswan už je trochu mimo mísu, ten software už se nevyvíjí a musí s epatchovat, patchovat patchovat.

Jinak se jendá o technologii NAT-T (NAT- Traversal)
alias Ipsec over UDP

Mě to chodí přes následovníka freeswanu - Openswan , konkrétně verze 2.3.1. Na kernelu řady 2.4 se musí patchovat jádro a dodávat modul jádra ipsec.o

Na jádrech řady 2.6 se nemusí patchovat jádro, a nemusí se dodávávat modul ipsec.ko do jádra. Stačí jen přeložit program a NAT-T jede, bohužel ztrácí se tím výhoda, že tam není vyhrazené zvláštní virtuální rozhraní ipsec, což komplikuje firewall a dělá ho o něco méně bezpečný.

Od řady 2.3.0 sice pro jádro 2.6 existuje modul ipsec.ko, který přidává virtuální rozhraní ipsec0, ovšem není tam podpora NAT-T.

Podpora NAT-T spolu s virtuálním rozhraním ipsec0 je až od verze Openswan 2.4.0, ovšem zatím experimentálně.

Já jsem to zkoušel na Kernelu 2.6.11 + openswan 2.3.1
Klienta pro připojení notebooku (Windows 2000/XP ) k VPN síti mám.