Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. | | | - Bem feito, com IPSec: http://www.freeswan.org/ - À maneira M$: http://www.poptop.org/
Regards, Nuno Silva aka RaTao |
| | | | | - Bem feito, com IPSec: http://www.freeswan.org/
Tem que ser mais portável entre servidores unix... FreeBSD e OpenBSD pelo menos preciso que sejam suportados... pelo que não possom seguir por esta via.
- À maneira M$: http://www.poptop.org/
Acho que será por aqui se não encontrar melhor alternativa.
Gracias!
PLS |
| | | | Hã? Não tens nada mais portavel que o freeswan! E podes ter a certeza que funciona com openbsd e freebsd. Onde é que foste buscar a ideia que não era compativel com as implementações IPSec de outros unices?
Regards, Nuno Silva aka RaTao |
| | | | Não tens nada mais portavel que o freeswan! E podes ter a certeza que funciona com openbsd e freebsd.
No primeiro freebsd em que entrei cd /usr/ports/net/poptop existe... e o freeswan não. Na página também não encontro referência a ports para FreeBSD e OpenBSD...
Tenho de procurar mais...
PLS |
| | | | Ahhhhhhhhhhh! Não é nada disso! :) O freeswan é IPSec para Linux. Para openBSD e freeBSD tens outros packages (isakmpd e kame) que implementam IPSec para essas plataformas. Vê as coisas assim: IPSec é IPSec. Não precisas de ter freeswan para windows2000 para poder "falar" IPSec entre Linux (freeswan) e win2000 :) A mesma coisa com os outros unices. RTM ;)
Regards, Nuno Silva aka RaTao |
| | | | Ahhhhhhhhhhh! Não é nada disso! :) O freeswan é IPSec para Linux. Para openBSD e freeBSD tens outros packages (isakmpd e kame) que implementam IPSec para essas plataformas. Vê as coisas assim: IPSec é IPSec. Não precisas de ter freeswan para windows2000 para poder "falar" IPSec entre Linux (freeswan) e win2000 :) A mesma coisa com os outros unices. RTM ;) Estou precisamente a ler um porradão deles...
Obrigado pelo empurrão que torna bastante mais rápido o processo...
PLS |
| | | | podes sempre fazer o pay-swan-seed :) |
| | | | podes sempre fazer o pay-swan-seed :)
Não me parece... :-))
PLS |
| | | | Escusas de procurar.. OpenBSD já tem IPSec integrado (isakmpd), e não, não sao packages, por isso é natural que não encontres nenhum port/package. (FreeBSD não faço idéia) Paulinho.. não és um ninja total! Shame on you. :) |
| | | | Escusas de procurar.. OpenBSD já tem IPSec integrado (isakmpd), e não, não sao packages, por isso é natural que não encontres nenhum port/package. (FreeBSD não faço idéia) Paulinho.. não és um ninja total! Shame on you. :)
Há muitas variantes de kung fu... esta não domino de todo... estou a meter as mãos na lama e a aprender a guinchar à bruce lee... :-)))
Por isso é que perguntei...
PLS |
| | | | tenho implementacoes feitas com freeswan + ssh sentinel nos clientes, e rula na perfeiçao. ve mais info aqui: http://www.ssh.com/products/security/sentinel/ |
| | | por Anonimo Cobarde em 20-01-03 18:37 GMT (#2) |
| | | | | | RTFM :-)
Sempre uma boa sugestão.
PLS |
| | vtun (Pontos:0, Interessante) |
| por Anonimo Cobarde em 20-01-03 19:50 GMT (#3) |
| Não esquecer que o vtun é vulnerável a ataques por repetição. |
| | | | | Não esquecer que o vtun é vulnerável a ataques por repetição.
Não me esqueço... nada como uma monitorização constante para este tipo de avarias. PLS |
| | | | Como o RaTao ja' disse, ou usas IPSEC (o win2000/XP suportam nativamente), ou entao podes usar PPTP que vem com os Windows todos. O IPSEC e' bastante mais flexivel mas exige algo no teu escritorio que implemente o fim do tunel (um Windows2000, firewall ou um servidor Linux com freeswan) -- o PPTP por sua vez apenas necessita de uma maquina Win32 no fim do tunel. Note-se no entanto que se as pessoas em casa tiverem, por exemplo, ADSL com uma firewall e' preciso a firewall suportar IPSEC-pass through. "Arguing on the Internet is like running in the Special Olympics -- Even if you win you're still retarded."
|
| | | | | Err.. "o PPTP por sua vez apenas necessita de uma maquina Win32 no fim do tunel" Conforme referido acima pelo rato grande, pode-se usar PPTP do lado do server (fim do tunel): http://www.poptop.org No need for windoooz. -- Whatever !! [UrT Quote]
|
| | | | Conforme referido acima pelo rato grande, pode-se usar PPTP do lado do server (fim do tunel): Acho que nao percebeste o que quis dizer -- se no escritorio ha' uma maquina Win32 (deve haver muitas), nao e' preciso mais nada. i.e., nao precisas de instalar pppd+mschap num Linux. "Arguing on the Internet is like running in the Special Olympics -- Even if you win you're still retarded."
|
| | | | Normalmente as tais (muitas) máquinas win32 estão atrás de uma firewall... E PPtP, assim como IPSec, não gosta que se mexa nos seus pacotes (ehehehe). (Fazer um tcp bouncer da porta 1723(?) não chega) I.e. tens que fazer sempre qualquer coisa mais, num caso destes. Ou andar às cabeçadas com o iptables ou instalar um pptp-proxy na firewall/gateway. http://www.mgix.com/pptpproxy/ É o que normalmente uso.
Regards, Nuno Silva aka RaTao |
| | | | Tens 2 hipoteses imediatas com servidor em linux, IPSec ou PPTP. Já usei os dois, achei o pptp mais fácil de configurar, principalmente a nível do cliente, dois ou três clicks e já está, achei o IPSec bastante mais estável e menos permeável a linhas lentas, latencias, etc... Atenção que se usares PPTP com servidor em linux perdes a compressão de dados, pelo que me lembro o algoritmo era proprietário e não estava disponivel para outras plataformas não windows, não sei como estará agora. Tens ainda outras hipoteses, agarrar numa distribuição dedicada, baseada em linux ou não, que te ofereça um servidor de VPNs imediato, existem várias disponiveis, eu uso a Astaro Security Linux, alem de servidor vpn (ipsec e pptp), faz de proxy (squid), relay de mails, masquerade ou nat, dhcp server, accounting de uso da rede, etc... tem a desvantagem de não ser de borla para uso comercial, mas, na minha modesta opinião, vale a pena testar durante 30 dias... e se servir não é incrivelmente cara (cerca de 80 contos para a licença base) Podes ainda comprar um servidor VPN dedicado, por hardware. Se tiveres muito dinheiro vai para um Cisco se tiveres pouco dinheiro podes ir, por exemplo, para um linksys, que é (relativamente) barato, cerca de 70 contos, e compra-se na Fnac! seja como for posso aconselhar-te alguns dos links que segui quando andei a fazer a minha: -Setting up a VPN Gateway -lista de distribuições dedicadas -etc... Cumprimentos! zp |
| | | | Bem, como aqui já foi dito, tens duas opções: usas Ipsec ou PPTP. Acabei de configurar à pouco tempo um gw Ipsec (FreeSWAN) / PPTP no sitio onde trabalho para acesso remoto e pela experiência que tive, aponto algumas 'dicas'. Se o que tu queres é ligar-te remotamente numa configuração do tipo RoadWarrior (host->network) com clientes Windows2000/XP, usando Ipsec, e dado a natureza do Ipsec, consegues ter apenas um tunel ponto a ponto entre o teu endereço IP público e o office-gw, já que o protocolo é peer-to-peer. A grande questão é que tu desejas obter um endereço´'virtual' como se estivesses dentro da tua rede do escritório. Se usares os clientes nativos da M$, vais ter que configurar um L2TPD a correr no office-gw para que um túnel PPP seja criado e tenhas um endereço IP de uma pool que pertença à tua office-network. O proxyarp do pptpd faz com que esse endereço IP que te pertence seja 'visto' por toda a rede. Só assim é que consegues ter IPsec no cliente nativo do Windows/XP. É possível teres IPsec sem L2TP, mas não acho que seja uma opção muito prática. A desvantagem é que passas a ter 3 layers, portanto mais overhead (ipsec (crypto) -> l2tp -> ppp). Mais informações sobre esta configuração, podes ver aqui. Quanto a crypto em si, tens duas opções, tens DES ou 3DES, apenas. Recomenda-se óbviamente o 3DES. Outra abordagem é utilizares um cliente da SSH.com, o SSH Sentinel. A vantagem é que este é um *real* Ipsec client, suporta uma data de configurações, e obtem o teu endereço 'virtual' via dhcp, configurado numa interface virtual. O truque é usares um dhcprelay no teu office-gw, que faça forwarding do tráfego de dhcp para um dhcp teu interno ou no próprio gw. As vantagens desta configuração é que funciona :-) impecavelmente, suporta um monte de new crypto (blowfish e o novo aes, em que podes obter mais performance) e tens suporte de Nat Traversal (para evitar dores de cabeça para quem se liga por uma NAT box). Como desvantagem, tens que comprar o cliente e sempre é mais uma tarefa a adicionar na configuração do RoadWarrior. Quanto ao FreeSWAN, aconselho-te a usares o patch x509 para que utilizes a autenticação por certificados da parte de clientes. É mais seguro do que a utilização de um shared-secret. Se quiseres Nat-Traversal, new crypto, entre outras features, usas o Super FreeS/WAN patch. Tens os RPM's aqui. Aconselho-te primeiro a configurares um túnel com shared-secret e depois, se tudo correr bem, passas ao x509. Por último, quanto ao PPTP, como foi já indicado, este é um protocolo que a Microsoft apostou a sério (duvido que a Microsoft aposte realmente em Ipsec) e portanto, é o mais prático de configurares para clientes Windows. Da parte do servidor, usei o Poptop. É fácil de configurar, já que o túnel que é estabelecido é um túnel GRE, onde existe uma ligação PPP autenticada por CHAP/PAP. Aconselho-te como é óbvio, o CHAP. Atenção que o PPTP foi considerado inseguro tal como o MSCHAP. Para te sentires um pouco mais seguro, tens um patch para o suporte de MSCHAPv2 no pppd. A nível de crypto, a Microsoft usa um protocolo chamado MPPE (Microsoft Point-to-Point Encryption), e para a compressão usa o MPPC (sim, como era de esperar, o Microsoft Point-to-Point Compression). Se quiseres suportar isto no teu office-gw, tens que compilar o kernel com o suporte para MPPE/MPPC, bem como o próprio pppd. Tens aqui os patches. Funciona-me a 100% com clientes Windows XP, Mac OSX, mas não testei ainda com 2000. A autenticação é por MSCHAPv2. Infelizmente, o Poptop não suporta x509 authentication. Bem, boa sorte e diverte-te! |
| | | | Se eu tiver um servidor Linux servindo a internet e um servidor de arquivos windows2000 na minha rede interna. Como faço para criar uma VPN que veja os arquivos do M$???? |
| |
|