takze nakonec jsi preci jen vedle.... je skoda, ze spousta lidi ma stejny pristup....
Re: vzdálený síťový disk (home > work)
takze nakonec jsi preci jen vedle.... je skoda, ze spousta lidi ma stejny pristup....
Q9450.R4850.SM215tw.P5Q-Deluxe.x500.NZC130.Pix-501.xen
Re: vzdálený síťový disk (home > work)
2sasha: Videl sem, jak jedna nejmenovana firma rozchozovala tunel pres IPsec. Presto, ze dotycny evidetne vedel co dela, trvalo mu to cely den. Nebyla to uplne easy konfigurace + narazel na vsemozny potize s NATem (podotykam, ze zucastneny stroj mel primo routovanou verejnou IP, ale byl zaroven za NATem a to se IPsecu hrube nezdalo).
Osobne jsem rozchozoval OpenVPN tunel, verejnou IP mel jen jeden stroj, druhy byl za NATem na privatnim rozsahu a napoprve s nejakym ctenim man stranek sem to delal cca hodinu. Ten tunel byl tux vs win.
Kdyz sem totez testil pres IPsec, dobral sem se k nulovemu vysledku, nebot tuxi implementace kterou sem pouzil nebyla s tou windowsi compatabilni (a na presne toto narazis i u hodne draze placenych krabek).
IMPROBE AMOR, QUID NON MORTALIA PECTORA COGIS - krutá jsi, lásko, kam až ty doženeš smrtelná srdce -- Vergilius
Mnoho je prostředků, které léčí lásku, ale žádný není spolehlivý.
S tím, čeho se na nás dopustili druzí se už nějak vyrovnáme. Horší je to s tím, čeho jsme se na sobě dopustili sami. -- Francois La Rochefoucauld
Nabídnout přátelství tomu, kdo chce lásku, je jako dát chleba tomu, kdo umírá žízní.
VIP
Re: vzdálený síťový disk (home > work)
Možná by si mi sasho mohl napsat PM, protože znám i řadu ne zrovna levných řešení a už z principu své práce se s takovými zařízeními setkávám...
Možná Tě to nepotěší, nebo se mi budeš snažit více či méně úspěšně oponovat, ale velká řada z nich i přes vysoké pořizovací náklady nedosahuje dobře nastavenému a udržovanému open-source řešení.
Neděkujte, nenadávejte, pokud se vám něco líbí nebo nelíbí, používejte prosím hodnocení/reputaci/karmu - prostě ikonku s vahami pod avatarem.
Kdo vás kdy a za co ohodnotil uvidíte ve svém Uživatelském panelu.
Re: vzdálený síťový disk (home > work)
otazka je co presne potrebujes vedet
moje zkusenost s ipsecem je na ciscu, juniperu a checkpointu, pricemz se tyhle hw/sf platformy i krizi.
nejoblibenejsim a take nejlevnejsim resenim je pro mne juniper, pokud je remote gateway taky od juniperu, je to ponekud jednodussi, ale potom zalezi na tom kdo se o druhou stranu stara (je to jen branch office a nebo 3rd party)
v praci na tom juniperu bezi okolo 300 s2s vpn tunelu
nakonfigurovani ipsecu, routingu a policy pro novou vpn mi trva asi 1-2 hodiny, podle policy
pokud je to cerstvy box tak s upgradem a zakladni konfiguraci tak o hodinu az dve vice.
co se tyce konfigurace samotneho tunelu tak je nekolik moznosti, zakladni jsou postavene na routingu (tunnel se postavi prvni packetem a traffic je poslan do tunnelu na zaklade routingu a povolen pres policy) a na policy (traffic ktery pasuje na danou policy je povolen a encryptovan a nasledne odroutovan)
jinak pouzivam tunnel mode...
vicemene nejvice casu zabere nez vlastni konfigurace vyjednani vsech potrebnych parametru a pak dost casu prida - ten jsem zapomnel pripocist konfigurace NATu - v pripade vpn do 3rd party - vetsinou kvuli overlapping ip addresam a z duvodu zkryti interniho ip rozsahu...)
samozrejme peer muze byt staticky a nebo dynamicky
no a tady je konfigurace route based vpnky:
definovani jednotlivych siti (pripadne hostu, rozsahu, etc)
Corp-VPN-Hub-> set address trust local_lan 10.140.10.0/24
Corp-VPN-Hub-> set address vpn denton_lan 10.70.1.0/24
vytvoreni tunnel interfacu (logicky) a prirazeni fyzickemu portu/interfacu
Corp-VPN-Hub-> set zone name vpn
Corp-VPN-Hub-> set interf tun.10 zone vpn
Corp-VPN-Hub-> set interface tun.10 ip unnumbered interface eth0/3
na druhem firewallu
S1-Denton-> set interface tun.10 ip unnumbered interface eth0/0
routing
Corp-VPN-Hub-> set route 10.70.1.0/24 interface tun.10
S1-Denton-> set route 10.140.10.0/24 interface tun.10
specifikace IKE Phase-1 and Phase-2 parameteru:
Corp-VPN-Hub-> set ike gateway denton address 10.0.1.71 main outgoing-
Interface eth0/3 preshare ocuguru sec-level standard
Corp-VPN-Hub-> set vpn denton gateway denton sec-level standard
Corp-VPN-Hub-> set vpn denton bind interface tun.10
S1-Denton-> set ike gateway corp address 10.140.0.3 main outgoing-
interface eth0/0 preshare ocguru sec-level standard
S1-Denton-> set vpn corp gateway corp sec-level standard
S1-Denton-> set vpn corp bind interface tun.10
samo ze jde pouzit certifikat atd a sec-level jde rucne nadefinovat (to jsou vlastne ike proposals tzn konfigurace jednotlivych fazi a ktere algoritmy jsou pouzity, ten sec-level standard je jeden z defaultnich)
IKE Phase-1 Standard Level:
Id Name Auth Grp ESP-e ESP-a Lifetime
-- ------------------ -------- --- ------ ----- ----------
5 pre-g2-3des-sha Preshare 2 3DES SHA-1 28800
7 pre-g2-aes128-sha Preshare 2 AES128 SHA-1 28800
pokud ma byt vpnka porad nahore z duvodu applikacnich:
Corp-VPN-Hub-> set vpn denton monitor rekey
no a policy na zaver:
Corp-VPN-Hub-> set policy from trust to vpn local_lan denton_lan any
permit policy id = 5
Corp-VPN-Hub-> set pol from vpn to trust denton_lan local_lan any
permit policy id = 6
samo ze jde specifikovat jaky service ma byt povolen...
v tuto chvili mohu lehce videt jestli je vpn nahore, popripadne v ktere fazi kkonci a co je duvodem, logovany traffic atd...
tak snad jsem neco nevynechal uz hlady sotva vidim. takze jak vidite je to proste..
no a samozrejme tu neni konfigurace veci jako jsou dns proxy, alg, dynamicky routing, traffic shaping, content security, high availability, multikastink, virtualni systemy, nat atd...
takze to je pro priklad, pro mini firmu to samozrejme bude moc cool reseni, ale krabicka ktera tohle zvladne stoji okolo 300 dolaru... nevim kolik stoji licence pro klastrovani.... to bych musel zjistit.
Q9450.R4850.SM215tw.P5Q-Deluxe.x500.NZC130.Pix-501.xen
Re: vzdálený síťový disk (home > work)
jo a konfigurace je mozna pres ssh, telnet, web, https, a mangement gui.
me nejvice asi vyhovuje to ssh viz predchozi post, je to rychlejsi nez klikani a clovek rychle muze zkontrolovat konfiguraci.
co se debugovani tyce, je tu kupa prikazu, ktere primo ukazuji bud pro dany process co se s paketem deje a nebo ukazi cely prubeh, atd...
Q9450.R4850.SM215tw.P5Q-Deluxe.x500.NZC130.Pix-501.xen
Re: vzdálený síťový disk (home > work)
jo a konfigurace je mozna pres ssh, telnet, web, https, a mangement gui.
me nejvice asi vyhovuje to ssh viz predchozi post, je to rychlejsi nez klikani a clovek rychle muze zkontrolovat konfiguraci.
co se debugovani tyce, je tu kupa prikazu, ktere primo ukazuji bud pro dany process co se s paketem deje a nebo ukazi cely prubeh, atd...
@iptables
300tunnelu x 10 - 30 policy .... tenhle job neberu
@server versus appliance pro firewall
selze appliance dam tam druhou nebo mam backup/standby boxik a jen naliju konfiguraci z konzole nebo tftp a frcim
selze server (pokud nemam stejnou hw konfiguraci a backup file systemu) tak to bude trvat ponekud dele rekl bych)))
nenabizim tohle reseni kazdemu, vysledek je obecne znamy:
enterprise/corporatni reseni - ...
stredni firmy - ...
male firmicky, domacnosti - ...
to co jsem popsal navrch jde pouzit v ruzne cene pri stejne kvalite ve vsech pripadech, cim niz tim vice je to otazka za co vsechno platit...
snad to pomuze no..
Q9450.R4850.SM215tw.P5Q-Deluxe.x500.NZC130.Pix-501.xen
Re: vzdálený síťový disk (home > work)
ja se obavam, ze tva nenavist k opensource resenim spociva v jejich neznalosti ... standby, zalohy, stejna hw konfigurace, online redundance ... vsechno tohle je taaaak snadno resitelny ... staci zvolit spravnej software ...Původně odeslal sasha
nema smysl se o tom dohadovat. pokud do toho chces vrazet svoje penize (nebo ti je na to nekdo da), je to urcite fajn. a v tom pripade je to nejjednodussi outsourcovat, protoze pak mas na koho kricet, kdyz to nejde a nic z tohohle vubec resit nemusis ...
pokud ty prachy nemas, nebo te zabezpecena vpn zajima jen proto, ze se chces dostat domu na sdilenej disk (viz. tohle vlaknu), je to, co ty tady popisujes ne kanon, ale minimalne delostrelecka ceta na vrabce ...
stejnetak vyborne reseni je, nosit k ultralehkymu notebooku jeste 2kg krabku od juniperu...
Hrrrr, will you stop using people as human driven search engines? Google.com has all the answers you need.
Re: vzdálený síťový disk (home > work)
no nevim jak je to s tou neznalosti a taky nevim na ktery juniper jsi se dival, ale ta krabicka za tech par stovek vazi 0,7 kg... jestli se ti zda byt 300 dolaru moc tak fakt nevim kolik te stoji ten server.... ja treba doma nepotrebuji dve grafiky za 5 000 a radeji si zabezpecim domaci sit... znamena to nenavist nebo ze si neco honim?
mimo to reseni ktere jsem tu popsal je site to site, pokud chces clientskou vpn tak staci nainstalovat maly softik do notebooku...
k opensource zadnou nenavist nechovam jen jsem prezentoval svoji zkusenost s jinymi produkty, ktere jsou overeny jako spicky mezi firewally a tvrdim, ze se za slusny peniz daji poridit i domu a ulehcit si konfiguraci a zmensit starosti s bugy, upgrady, balicky atd atd.
navic jsem se snazil popsat technicke reseni jestli te to urazi tak ti asi nerozumim
ano tenhle thread si zada malinke reseni, ale snazil jsem se jen odpoved na otazky jezevce a paola
od tebe mam zatim jen odpoved jak nenavidim opensource
pokud na to mas cas a chut, tak prosim prihod jak vypada konfigurace obdobneho scenare na openVPN at maji ostatni srovnani, myslim ze to bude vice uzitecne nez soucasne odpovedi(nic osobniho
Q9450.R4850.SM215tw.P5Q-Deluxe.x500.NZC130.Pix-501.xen
Toto téma si právě prohlíží 1 uživatelů. (0 registrovaných a 1 anonymních)
Pravidla přispívání
Odpověď s citací