Přístup k VPN

[diegocz]

DI-524 to umí určitě, vlastní zkušenost. V nastavení tuto možnost snad ani nemá, je to asi zaplý pořád.
Nicméně už jednou se mi stalo, že nějaký lokální (rozuměj malý) poskytovatel měl z neznámýho důvodu zablokovaný tyto porty.

[sasha]

standartni postup:

dokaze prelozit remote gw?
pingnout ip na kterou se hlasi?
co pouziva za klienta (tenoucky, tlustoucky )
jaky protokol klient pouziva (SSL, IPSec, etc)
pouziva certifikat pro autentikaci?
kazdy slusnejsi klient ma log - nejake informace?

to je jasny ze odchazi packet s interni addressou a nema to na nic vliv.... sam se pripojuju do prace pres 3 NATy a zadny problem s tim neni (IPSec i SSL) POKUD nejsou na FW blokovane porty:
(IKE) - User Datagram Protocol (UDP) port 500
(ESP) - IP protocol number 50
(AH) - IP protocol number 51
a pripadne UDP port 4500
nekdy TCP port 10000
ty posledni dva uz odvisi od konfigurace klienta a pouzivaji se standartne jen pri IPSecu..

navic by to mel resit napred se supportem v praci - oni reknou jestli vubec neco k nim doslo nebo ne a pripadne v jake fazi to kleklo...

[Jezevec]

Zalezi na nastaveni, ale klasickej IPsec te vyfuckuje, kdyz mu chodej pakety z jiny IP nez kterou tvrdis ze mas, povazuje to (logicky) za utok.

[sasha]

@Jezevec - nejsem si moc jisty jaky priklad presne myslis.
pokud se vnitrni adresa neprelozi tak ti paket neprijde zpet, pokud se prelozi tak je uplne jedno co je uvnitr paketu, protoze remote gateway prideli klientovi vlastni range a vetsinou i default gateway
kdyztak to prosim upresni, rad bych vedel co mas na mysli.

Gestler - pak teda jedine udelat packet capture u neho na kompu a podivat se co tam posila...
Tvoji adresu budou potrebovat jen v pripade, ze maji ACL na jejich strane aby meli co nejvetsi restrikci kdo se muze pripojit, coz se v 90% pokud uzivatele cestuji nepouziva...

[Jezevec]

Posilas paket a soucasti !!!dat!!! je IP protistrany, kterou si overuje. Ty data nemuzes nikde cestou menit, nema to nic spolecnyho s NATem. Jednoduse se tak overuje, ze nekdeo cestou nesnifuje/nepozmenuje provoz.

[sasha]

obavam se ze porad nevim o jake situaci mluvis, mluvis o sestavenem tunelu a pokud ne tak o ktere fazi ipsecu?

[Gestler]

DI-524 to umí určitě, vlastní zkušenost. V nastavení tuto možnost snad ani nemá, je to asi zaplý pořád.
Nicméně už jednou se mi stalo, že nějaký lokální (rozuměj malý) poskytovatel měl z neznámýho důvodu zablokovaný tyto porty.

Ano mám jednoho z menších poskytovatelú.Zpetám se ho.

To sasha: pingnu tam, je to nějaká realitka, dotyčný používám pro přístup do databáze nějakého SW klinta, bohužel mám minimum informací.

Podle toho co říká Jezevec se mi zdá být rozumné aby soused v práci nahlásil v práci mojí IPadresu a svouji adresu za routerem? nebo adresu routeru?