Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Андрей К.
Зарегистрирован: 23.03.2005 Сообщения: 21
|
Добавлено: Ср Мар 23 2005 09:59 Заголовок сообщения: Соединить 2 приватные сети |
|
|
Мне нужно соединить 2 приватные сети. У каждой сети свой сервер NAT, «смотрящий» во внешний мир интерфейсом с обычным (не приватным) адресом. Между серверами – маршрутизатор (чужой), порты которого также имеют обычные адреса. Есть ли какая-нибудь программа, которую можно поднять на серверах, чтобы пакет, предназначенный из одной приватной сети в другую, она упаковывала в другой пакет на исходном сервере и ставила адрес другого сервера, а там, в свою очередь, пакет доставался бы и отправлялся по нужному приватному адресу. Желательна программа, которая может работать под управлением Windows 2003. Спасибо. |
|
Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004 Сообщения: 1498 Откуда: SPb
|
Добавлено: Ср Мар 23 2005 10:29 Заголовок сообщения: |
|
|
Туннель вам нужно организовать между сетками. И маршрутизацию настроить.
Все необходимое есть в Win2003. Посмотрите хелп на предмет PPTP, VPN. _________________ Век живи - век учись!.. Дураком помрёшь. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Ср Мар 23 2005 21:49 Заголовок сообщения: |
|
|
Только PPTP!
IPSec через NAT не работает без спец.заточек, которые ты не сможешь сделать, т.к. не управляешь маршрутизатором. |
|
Вернуться к началу |
|
|
toor99
Зарегистрирован: 20.02.2005 Сообщения: 26
|
Добавлено: Чт Мар 24 2005 09:53 Заголовок сообщения: |
|
|
and3008 писал(а): | Только PPTP!
IPSec через NAT не работает без спец.заточек, которые ты не сможешь сделать, т.к. не управляешь маршрутизатором. |
У вас не совсем правильное понимание. Или вы просто объясняете на чрезвычайно упрощенном уровне.
IPSec (вернее, ESP) в туннельном режиме прекрасно работает через NAT (именно NAT!), т.к. заголовок IP не используется при генерации хэша зашифрованного содержимого.
Но в данном случае используется не NAT, а NPAT. При этом для мультиплексирования пакетов с приватным IP используется не только адрес, но и номер порта. А поскольку номер порта находится в заголовке TCP/UDP, который зашифрован, процедура NPAT к ESP-пакету принципиально неприменима.
То же самое относится и к PPTP. Поскольку он основан на протоколе GRE, номер порта в таком пакете отсутствует, и NPAT к его пакетам неприменим. Именно поэтому для того, чтобы пропускать PPTP через NPAT в линуксе, например, раньше подгружали специальные модули, или накладывали патчи на ядро (как сейчас - не знаю, возможно этот функционал уже внесли в основной код).
Что же касается ESP, то существует специальный прием "NAT Traversal", на который существует RFC, и который поддерживается большинством современных маршрутизаторов, реализующих NAT/NPAT. При этом пакеты IPSec инкапсулируются в пакеты UDP (dst port 4500). Режим NAT-T поддерживает также FreeS/WAN, по крайней мере его поздние версии и реализации на его основе.
Надеюсь, эта информация кому-нибудь пригодилась |
|
Вернуться к началу |
|
|
toor99
Зарегистрирован: 20.02.2005 Сообщения: 26
|
Добавлено: Чт Мар 24 2005 09:56 Заголовок сообщения: |
|
|
and3008 писал(а): | Только PPTP!
IPSec через NAT не работает без спец.заточек, которые ты не сможешь сделать, т.к. не управляешь маршрутизатором. |
О, я и не заметил (как и вы):
"Между серверами – маршрутизатор (чужой), порты которого также имеют обычные адреса"
То-есть, это все вообще не проблема, если он будет терминировать свой VPN на пограничных роутерах (на которых NAT, и которые он, насколько можно понять, контролирует). |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Мар 24 2005 21:59 Заголовок сообщения: |
|
|
В общем надо пробовать.
|
|
Вернуться к началу |
|
|
Андрей К.
Зарегистрирован: 23.03.2005 Сообщения: 21
|
Добавлено: Ср Мар 30 2005 06:26 Заголовок сообщения: |
|
|
toor99 писал(а): | IPSec (вернее, ESP) в туннельном режиме прекрасно работает через NAT (именно NAT!), т.к. заголовок IP не используется при генерации хэша зашифрованного содержимого.
Но в данном случае используется не NAT, а NPAT. При этом для мультиплексирования пакетов с приватным IP используется не только адрес, но и номер порта. А поскольку номер порта находится в заголовке TCP/UDP, который зашифрован, процедура NPAT к ESP-пакету принципиально неприменима.
То же самое относится и к PPTP. Поскольку он основан на протоколе GRE, номер порта в таком пакете отсутствует, и NPAT к его пакетам неприменим. Именно поэтому для того, чтобы пропускать PPTP через NPAT в линуксе, например, раньше подгружали специальные модули, или накладывали патчи на ядро (как сейчас - не знаю, возможно этот функционал уже внесли в основной код).
Что же касается ESP, то существует специальный прием "NAT Traversal", на который существует RFC, и который поддерживается большинством современных маршрутизаторов, реализующих NAT/NPAT. При этом пакеты IPSec инкапсулируются в пакеты UDP (dst port 4500). Режим NAT-T поддерживает также FreeS/WAN, по крайней мере его поздние версии и реализации на его основе.
Надеюсь, эта информация кому-нибудь пригодилась |
А разве NPAT работает поверх IPsec и PPTP? Я думал, что это IPsec и PPTP работают поверх NPAT.
И ещё, пожалуйста, дайте ссылку на документацию по NPAT и NAT.
Заранее спасибо. |
|
Вернуться к началу |
|
|
toor99
Зарегистрирован: 20.02.2005 Сообщения: 26
|
Добавлено: Чт Мар 31 2005 17:44 Заголовок сообщения: |
|
|
Андрей К. писал(а): | toor99 писал(а): | IPSec (вернее, ESP) в туннельном режиме прекрасно работает через NAT (именно NAT!), т.к. заголовок IP не используется при генерации хэша зашифрованного содержимого.
Но в данном случае используется не NAT, а NPAT. При этом для мультиплексирования пакетов с приватным IP используется не только адрес, но и номер порта. А поскольку номер порта находится в заголовке TCP/UDP, который зашифрован, процедура NPAT к ESP-пакету принципиально неприменима.
То же самое относится и к PPTP. Поскольку он основан на протоколе GRE, номер порта в таком пакете отсутствует, и NPAT к его пакетам неприменим. Именно поэтому для того, чтобы пропускать PPTP через NPAT в линуксе, например, раньше подгружали специальные модули, или накладывали патчи на ядро (как сейчас - не знаю, возможно этот функционал уже внесли в основной код).
Что же касается ESP, то существует специальный прием "NAT Traversal", на который существует RFC, и который поддерживается большинством современных маршрутизаторов, реализующих NAT/NPAT. При этом пакеты IPSec инкапсулируются в пакеты UDP (dst port 4500). Режим NAT-T поддерживает также FreeS/WAN, по крайней мере его поздние версии и реализации на его основе.
Надеюсь, эта информация кому-нибудь пригодилась |
А разве NPAT работает поверх IPsec и PPTP? Я думал, что это IPsec и PPTP работают поверх NPAT.
И ещё, пожалуйста, дайте ссылку на документацию по NPAT и NAT.
Заранее спасибо. |
"Поверх" обозначает инкапсуляцию. Ваш вопрос бессмысленен, так как операция NAT/NPAT не имеет никакого отношения к процессу инкапсуляции.
Ссылку сейчас дать не могу, но вы и сами легко найдете множество описаний, в т.ч. и по-русски. |
|
Вернуться к началу |
|
|
Nac
Зарегистрирован: 07.04.2005 Сообщения: 7
|
|
Вернуться к началу |
|
|
|