Доколкото четох, този IPSec се пуска отгоре върху вече изграден тунел от UDP пакети. Това означава, че моят Linux firewall няма да знае за IPSec и ще знае само за тунела, изграден от L2TP протокола. Не е ли така? В такъв случай няма да има нужда от маскиране на IPSec пакети, защото те ще се движат по UDP базиран тунел.
Иначе аз са моя офис си ползвам OpenVPN и никога не съм имал проблеми. Това нещо просто работи безотказно и безпроблемно. Обаче VPN сървъра на моите клиенти е хардуерен и не поддържа OpenVPN. Наков -----Original Message----- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Nickola Kolev Sent: Tuesday, February 03, 2009 9:38 PM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Здравей, L2TP наистина иска порт 1701, но не съм сигурен какво се получава при NAT/маскиране. IPSec от своя страна, иска отворени порт 500/udp и типове протоколи ah/esp. Маскирането на IPSec не е много по-цветущо в ядрата 2.4, отколкото PPTP - едва наскоро състоянието на NAT-T стандартите се стабилизира и подобри. Жоро Чорбаджийски съвсем правилно предложи обновяването на системата до нещо по-съвременно - гарантирано така ще имаш по-малко проблеми в бъдеще. Иначе се поразтърси за (остарели) документации като за твоята платформа/среда. On Tue, 3 Feb 2009 21:04:53 +0200 "Svetlin Nakov" <svet...@nakov.com> wrote: > Благодаря за насоките, Никола. > > Мисля, че ще е по-лесно да накарам отсрещната страна да минем на L2TP/IPSec > VPN. Той иска единствено UDP порт 1701, нали? Не би трябвало да имаме > проблеми със сегашните настройки и преминаване през NAT базиран на iptables, > или бъркам нещо? > > Наков > > -----Original Message----- > From: lug-bg-boun...@linux-bulgaria.org > [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Nickola Kolev > Sent: Tuesday, February 03, 2009 2:49 PM > To: Linux Users Group - Bulgaria > Subject: Re: [Lug-bg] iptables, NAT and PPTP > > Здрасти, > > Можеш да прочетеш отговорите ми по-долу. > > На Tue, 3 Feb 2009 14:03:42 +0200 > "Svetlin Nakov" <svet...@nakov.com> написа: > > > Ами да, наистина и аз стигнах до тази идея. Обаче трябва да мигрирам и > > всички настройки: dns settings, routing, firewall rules, openvpn > > settings, etc. > > Това не е невъзможно, но изисква внимателно планиране. > > > Има ли лесен начин да направя upgrade към Fedora 10 вместо пълен > > reinstall? > > Не, няма лесен начин. В документацията на всички Red Hat базирани > дистрибуции се казва, че препоръчваното решение е пълна > преинсталация, а не обновяване и надграждане до по-нова версия. Не > казвам, че не е възможно, просто има голям шанс да се счупи нещо. А, и > единственият _поддържан_ "upgrade path" е от версия до версия - т.е. > примерно от redhat7.1 до 7.2, после до 7.3, после до 8, 9 и т.н. > > > Освен това в kernel 2.6 лесно ли се пуска това pptp или пак ще трябва > > да пачвам кърнела? > > "Лесно" е относително определение. Трябва да решиш как ще си оторизираш > потребителите, дали в играта ще влезе някакъв сложен рутинг, и т.н. > Но за закърпване на ядрото - не, не е необходимо при съвременните ядра > 2.6. > > > Наков > > > > -----Original Message----- > > From: lug-bg-boun...@linux-bulgaria.org > > [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Georgi > > Chorbadzhiyski > > Sent: Tuesday, February 03, 2009 11:18 AM > > To: Linux Users Group - Bulgaria > > Subject: Re: [Lug-bg] iptables, NAT and PPTP > > > > Svetlin Nakov wrote ... , On 2/3/09 10:57 AM: > > > Ами въпросният модул го няма: > > > > > > [r...@border-router tmp]# lsmod | grep ip_nat_pptp > > > [r...@border-router tmp]# modprobe ip_nat_pptp > > > modprobe: Can't locate module ip_nat_pptp > > > > > > Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този > > > модул? Тук намерих някакъв patch, но е за kernel 2.4.19: > > > http://www.impsec.org/linux/masquerade/ip_masq_vpn.html > > > > > > Някакви идеи? > > > > Това ядро дето го ползваш е толкова старо, че се води > > праисторическо (на повече от шест години) :) Ако не минеш > > на 2.6 едва ли ще можеш да се справиш. Спести си > > услията, които ще хвърлиш в подкарването на pptp на > > 2.4, метни се една федора 10 (или там която е последната > > версия, тъй като ползваш redhat) едва ли ще ти отнеме повече > > от час. > > > > -- > > Georgi Chorbadzhiyski > > http://georgi.unixsol.org/ > > > > _______________________________________________ > > Lug-bg mailing list > > Lug-bg@linux-bulgaria.org > > http://linux-bulgaria.org/mailman/listinfo/lug-bg > > _______________________________________________ > > Lug-bg mailing list > > Lug-bg@linux-bulgaria.org > > http://linux-bulgaria.org/mailman/listinfo/lug-bg > > > -- > Поздрави, > Никола > _______________________________________________ > Lug-bg mailing list > Lug-bg@linux-bulgaria.org > http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Nickola Kolev <ni...@mnet.bg> _______________________________________________ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg _______________________________________________ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg