VPN a překlad adres

[kamil]

Vytvořil jsem si testovací VPN do domácí sítě - Zywall 5 + ZyWALL IPSec Client (VPN z WinXP se mi rozchodit nepodařilo). Vše mi funguje, akorát to má jednu vadu na kráse; místo názvů musím zadávat IP adresy (HTTP, sdílení...).

Poradí někdo jak na to?

[HollyG]

Tak muzes bud laborovat s nastaveni netbios presmerovani a dalsich skopicin, a nebo lebe si do "C:\WINDOWS\system32\drivers\etc\hosts" zadat vse potrebne.

[kamil]

hmm, netbios jsem povolil kde se dalo...

no ono hosts v etc sice funguje, ale je to řešení poze v rámci jedhoho VPN; v případě, že si vytviřím vice vpn spojení do různých sítí, tak by údřžba hosts byla troch problematická...

[HollyG]

Jak moc velkou infrastrukturu s tim planujes vyrabet, ze hosts uz nestaci?
Psal jsi "domaci sit"
Jinak resolvovani nazvu provadi NetBIOS pres broadcast...

[Marty]

No já bych osobně doporučil VPN klientům přiřadit WINS server, který by měl optimálně běžet na tom VPN serveru, aby viděl do obou sítí.

Nicméně zajímavou otázkou může být, proč je VPN za NATem. Pokud totiž rozchodíš ten WINS, tak by ti NAT mohl dělat zbytečné problémy, pokud WINS/VPN server není zároveň pro LAN i VPN default gateway.

btw s tim netbiosem toho asi moc nepořešíte, protože ty broadcasty imho přes ten router neprojdou.

[kamil]

jo, domácí testovací...

až dojde na ostré nasazení, tak se bude jednat asi tak o destet VPN klientů, časem asi půjde až o tři různé pobočky, pokud budu někomu chtít povoli přístup s domácího PC, tak se mi asi nebude chtít obídat všechny domácnosti a přidávat do hosts nové záznamy...

[HollyG]

Nez se vrhneme na dalsi technicke vymysly, mozna by bylo lepsi napsat, co tim vlastne chces resit a jak to ma fungovat, a na tom pak stavet (jestli je treba realny onen WINS server apod).

[Marty]

Myslím, že není vhodné používat jednu VPN pro user-access (z domova, na cestách) a pro propojování poboček.

Pro připojování lidiček z domova a spol. bych rozhodně doporučoval značně restriktivnější nastavení - firewall mezi VPN a omezení provozu z VPN do LAN.
Detaily k diskuzi.

A k propojení poboček... zywall... are you sure?

[Fox!MURDER]

tak bud, jak rika marty, wins server, nebo jinak stavenou VPN (fcni jako ethernet bridge. to je imo na spravu nejjednodussi ...) ale zas to chce nejakej filtr, to ma marty taky pravdu ...

[kamil]

no špatně jsem se vyjádřil; nemám v úmyslu propojovat pobočky, jde spíš o přístup do různých lokalit - ty mezi sebou propojeny nebudou...

vpn i nat jede na tom zywallu (Martymu se Zyxel nelíbí?).

je zajímavé, že když jsem to včera doma testoval - z obyváku jsem se přes cdma modem (tedy s veřejnou ip) připojoval zpět, tak mi netbois nešel;dnes jsem za routere (Asus WL500gp přes cdma) a prohledávání sítě mi jede, tak su s teho kozel...

[kamil]

jo a abych upřesnil o co jde:
přístup na fileserver (mě ip adresy nevadí, ale názvy jsou pro většinu pohodlnější)
přístup k sql (obdc)

[Fox!MURDER]

jo a dalsi varianta by bylo DNS ... ale nevim, jestli v tom klientovi co pouzivas, jde priradit, nebo ne ...

[Marty]

No já v zásadě se zyxelem nemám problém. Pokud vím, tak jednomu někdejšímu klientovi to funguje ke spokojenosti - přes ADSL tím má propojenou jednu pobočku a neslyšel jsem nic špatného.

Nicméně zase záleží na požadavcích. Já bych se s funkčností integrovaného firewallu nespokojil a chtěl bych něco víc.

Ale to zas ubíhám pryč.
Propojení poboček a vzdálených uživatelů bych řešil zhruba takto:

měl bych dva stroje:
1. hlavní router, připojení k internetu, transparentní ssl vpn server - tvořící bridge do vzdálených lokalit (to co popisuje fox)
2. vpn server, pro připojení vzdálených uživatelů. otázkou je, kam tento stroj zařadit. já bych ho dal buď vedle toho hlavního routeru nebo do nějaké dmz, aby se síť dala snadno oddělit. případně další varianta, dát ho přímo na ten hlavní router, ale to je zas zbytečné riziko...


nicméně, pro to, co popisuješ, bych volil skutečně asi výše popsanou konfiguraci, tj. pc-based router a na něm vpnky a firewall. samozřejmě také wins a dns, pak už je to "jen" věcí konfigurace.

[kamil]

dns v klientovi zadat jde

tak jsem otestoval dvě situace:
1. připojení přímo přes cdma (veřejná ip) - překlad nejede, přes ip je to funkční...
2. připojení přes router (stejný cdma modem) - překlad i procházení sítě je funkční

další zajímavost je (varianta připojení 2), že pokud mám v obou lan nastavenou stejnou síť, tak při spojení vpn mi na lokální straně přestane fungovat přístup na web rozhraní routeru; pokud nastavím různé sítě, tak to jede ok...

[sasha]

co presne znamena mam v obou lan stejne site ?

kazdopdne klasicke a nejosvedcenejsi design je jak psal Marty,
internet > router (tvuj nebo isp) > vpn device

potom co se uzivatel prihlasi (odkudkoliv na vpn branu) dostane ip addressu z nejakeho tebou nadefinovaneho rozsahu a trada muze pouzivat sluzby, ktere mu nabizis na vnitrni siti.

dalsi moznost je potom ze mas za vpn gw polozeny fw, kterym muzes uzivatele omezovat jen na urcite sluzby.

pokud mas zarizeni kvalitnejsi a dokazes davat ruznym uzivatelum podle tebou nadefinovanych pravidel ruzne range muzes je na fw roztridit pro jednotlive sluzby.
ale to uz neni domaci reseni.

kazdopadne podle rfc uzivatel, ktery se pripojuje na vpn gateway muze byt za natem, ale ne obracene....