RU/2: Форум. Общение пользователей и разработчиков OS/2 (eCS). : SFL и VPN


Список сообщений | Написать новое | Ответить на сообщение | Домой Поиск:
Предыдущее сообщение | Следующее сообщение
From : Slavik Gnatenko, 2:467/99
To : oleandr
Subj : SFL и VPN
> Насчет других знаю, protocols читал про всякие GRE, Vines. Но речь о VPN-ах. IPSec работает именно через TCP/UDP (порт 500 и 1500), только для NАТа придется отключить опцию AH (Authentication Header) и оставить нужный ESP.
In order for IPsec to work through a NAT, the following need to be allowed on the firewall:

* Internet Key Exchange (IKE) - User Datagram Protocol (UDP) port 500
* IPsec NAT-T - UDP port 4500
* Encapsulating Security Payload (ESP) - Internet Protocol (IP) 50
Так что этот самый ESP без поддержки на нате за пределы хоста с ним никуда не уйдёт.


> Что касается PPTP, то там другая специфика -протокол придуман как аналог PPP только с шифрацией трафика, поэтому и транспорт идет по TCP для трансляции промежуточными хостами. Поэтому формирование пакета и обратное преобразование обычно допускаются сквозь NАТ (технология NAT-Throw или NAT-Traversal).
Вот про PPtP не надо сказки рассказывать. PPtP - это и есть PPP. Всё, что в нём есть - это простенький диалог по control connection, которое по TCP и установка EGRE сессии. После этого идёт PPP over EGRE, т.е. 47му протоколу с добавлением некоторых полей. EGRE тоже можно натить (просто GRE нельзя), но это опять же требует специального кода на нате, аналогичного коду для TCP. Что до NAT-Traversal, то это вообще из другой оперы.


Thu 27 Sep 2007 13:36 Mozilla/5.0 (OS/2; U; Warp 4.5; en-US; rv:1.8.1.2pre) Gecko/



Programmed by Dmitri Maximovich, Dmitry I. Platonoff, Eugen Kuleshov.
25.09.99 (c) 1999, RU/2. All rights reserved.
Rewritten by Dmitry Ban. All rights ignored.