作者 主題: 一個VPN的觀念請教  (閱讀 3601 次)

0 會員 與 1 訪客 正在閱讀本文。

cisco3662

  • 鑽研的研究生
  • *****
  • 文章數: 739
    • 檢視個人資料
一個VPN的觀念請教
« 於: 2003-05-27 09:51 »
最近sars流行.....導致電子商務,VPN等應用也受到大家注意....

想問的是,vpn的連線,假設甲端先不管用什麼vpn設備,乙端是NAT(iptables)作防火牆的環境,有辦法讓乙端內部的user透過VPN的連線到甲端access data嗎??

aloysius

  • 活潑的大學生
  • ***
  • 文章數: 403
    • 檢視個人資料
Re: 一個VPN的觀念請教
« 回覆 #1 於: 2003-05-27 10:08 »
引述: "cisco3662"
最近sars流行.....導致電子商務,VPN等應用也受到大家注意....

想問的是,vpn的連線,假設甲端先不管用什麼vpn設備,乙端是NAT(iptables)作防火牆的環境,有辦法讓乙端內部的user透過VPN的連線到甲端access data嗎??


NAT只做來源/目的位置的轉換,不去看封包內加密的資料,所以是可行的..

zoob

  • 鑽研的研究生
  • *****
  • 文章數: 776
    • 檢視個人資料
    • http://www.myunix.idv.tw
Re: 一個VPN的觀念請教
« 回覆 #2 於: 2003-05-27 10:15 »
引述: "aloysius"

NAT只做來源/目的位置的轉換,不去看封包內加密的資料,所以是可行的..


其實不一定,要看NAT設備如何去更改封包的內容

像我測試ipsec的某些設備,在某些Windows 2000 NAT、ip分享器及Hibuilding的架構下,會無法連線(Linux的iptables都沒有問題哦  ^_^)

我是建議多試試不同的VPN設備來評估是否可行,目前我遇過比較少問題的是PPTP協定

cisco3662

  • 鑽研的研究生
  • *****
  • 文章數: 739
    • 檢視個人資料
Re: 一個VPN的觀念請教
« 回覆 #3 於: 2003-05-27 10:19 »
引述: "zoob"
引述: "aloysius"

NAT只做來源/目的位置的轉換,不去看封包內加密的資料,所以是可行的..


其實不一定,要看NAT設備如何去更改封包的內容

像我測試ipsec的某些設備,在某些Windows 2000 NAT、ip分享器及Hibuilding的架構下,會無法連線(Linux的iptables都沒有問題哦  ^_^)

我是建議多試試不同的VPN設備來評估是否可行,目前我遇過比較少問題的是PPTP協定


感覺上好像是可行的....
那請問linux nat的部分需要增加什麼設定嗎??還是直接連線就可以呢??

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5401
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
一個VPN的觀念請教
« 回覆 #4 於: 2003-05-27 10:36 »
iptables 有 pptp 的 module, 可能要載入才可以.
好像還沒有在官方的 kernel 版本內, 要到 netfilter 網站抓 source 自己做吧.

cisco3662

  • 鑽研的研究生
  • *****
  • 文章數: 739
    • 檢視個人資料
Re: 一個VPN的觀念請教
« 回覆 #5 於: 2003-05-27 14:41 »
引述: "zoob"
引述: "aloysius"

NAT只做來源/目的位置的轉換,不去看封包內加密的資料,所以是可行的..


其實不一定,要看NAT設備如何去更改封包的內容

像我測試ipsec的某些設備,在某些Windows 2000 NAT、ip分享器及Hibuilding的架構下,會無法連線(Linux的iptables都沒有問題哦  ^_^)

我是建議多試試不同的VPN設備來評估是否可行,目前我遇過比較少問題的是PPTP協定


請問學長應該如何實作呢(for linux iptables)??
有另一位學長說須外掛iptables的module
上了netfilter都找不到說...
Thx....

zoob

  • 鑽研的研究生
  • *****
  • 文章數: 776
    • 檢視個人資料
    • http://www.myunix.idv.tw
一個VPN的觀念請教
« 回覆 #6 於: 2003-05-27 14:50 »
搜尋一下精華區裡面有關於PPTP的文章

Kevin

  • 活潑的大學生
  • ***
  • 文章數: 207
    • 檢視個人資料
一個VPN的觀念請教
« 回覆 #7 於: 2003-05-27 21:50 »
一般VPN 可以分為PPTP , L2TP , 及 IPSec.

PPTP 是比較簡單的方式.

如甲端是Netscreen Firewall ,
乙端的User 可以在Client 端裝VPN client , 透過 IPSec 以 Remote Access
的方式來和甲端Netscreen Firewall 建立VPN Tunnel .

一般在NAT 下, 要實行 IPSec 的方式, 需要Gateway 端能讓 IPSec Pass Through. 有些IP 分享器可以, 如ZoT IA 400 . (不知是IA 還是IH 忘了...)

上述乙端在 Linux IPTable 下是可行的.

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17477
    • 檢視個人資料
    • http://www.study-area.org
一個VPN的觀念請教
« 回覆 #8 於: 2003-05-27 22:06 »
依我的經驗:
1) 兩端用 linux 作 gateway
2) 將兩個 linux 用 vpn 連起來(不管用啥方式)
3) 將兩端 subnet 的 routing 設好
4) 在 iptables 上於 NAT 規則前先行 ACCEPT 兩端的 subnet
是可行的。
要是一端是單一的機器(非 subnet),那用 pptp 較簡便,
至於另一端,若是連接的是 subnet ,也同樣用上述第 3 及 第 4 步驟來處理即可。

Kevin

  • 活潑的大學生
  • ***
  • 文章數: 207
    • 檢視個人資料
一個VPN的觀念請教
« 回覆 #9 於: 2003-05-27 22:54 »
之前, 我也曾經嘗試用 Linux 當Gateway , 用FreeSwan Solution 來做 Linux -- linux ( Lan to Lan).

一般 VPN  主要實現三個目的:

    Intranet ---> 各地分公司網路整合.
    Extranet ---> 與 Business 合作夥伴的整合.
    Remote Access   --->  在家 / 出差之Notebook 行動用戶.

如能再加上  AAA 機制:
   Authentication ---> Authorization ----> Auditing

則機制更為完整.

後來, 改為用一些硬體( VPN Router, firewall ) 來實現 VPN ,  不外乎以下:

1. 維護方便度的問題 :
    目前我們是在VPN 的通道上, 跑 VoIP Solution .
    一些公司沒有專職的MIS來維護, 所以, 我們讓客戶就是有問題時( 一般很少 )
    ,只需將硬體的電源重新 Reset 就行了.
     一般Linx 要登入主機, 要正常shutdown , 這部份, 要客戶做就有點麻煩.

   另, 這些硬體在重新開機的情形下, 很快, 有些不到10 秒就OK 了.
   而Linux Gateway , 則需數分鐘, 這部份, 有些內部User 會查覺怎麼服務中斷了. ( 當然重新開機的次數應不多)
   
2.  成本問題:
     現這些前端的Firewall , VPN Router , IP 分享器, for 中小Office ,在價格上,  
     己很便宜了. 有些幾仟元, 有些數萬元, 有些比一台主機來得便宜.
     讓Linux 專職在Mail , Web , ..... 其他應用,
    Gateway 端的工作, 就由這些硬體來弄, 成本上很划得來,
    但如您一台Linux 當Gatway , mail , web server .... , 又另當別論了.

3. 安全性問題:

     雖然Linux 上有IPtable , 但管理介面總不及這些商業硬體來得Friendly .
     如熟悉IPtable 的會不覺得困難, 但剛入門的新手, 可能要花較多的時間來
      熟悉.
    且, 一缸子應用( DB ,Squid,  Web , mail , VPN , Gateway , .......) 都在同一
     Linux主機 內, 且與Internet 直接連接, 中問透過IPtable 來保護, 感覺上, 風險有點高.

   其實是看客戶的需求及使用, 如是內部有專職MIS, 且對Linux 熟悉 , 當然 用Linux 來當前端, 則無異議.
   
   大致上, 提出一些個人用Linx 當Gateway 及VPN 的看法, 供大家參考.

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17477
    • 檢視個人資料
    • http://www.study-area.org
一個VPN的觀念請教
« 回覆 #10 於: 2003-05-28 00:19 »
嗯,同意~~~
若 $$ 夠的話,用 appliance solution 是上選。

但若想用 Linux 做點甚麼?
卻是可用的方案很多,當然,也包括將之做成 appliance ...  ^_^

回到主題:
若用 linux 當 gateway,也可單純"只"當 VPN 的 gateway ,
原本的 router 仍可繼續使用啦...

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
一個VPN的觀念請教
« 回覆 #11 於: 2003-05-28 00:29 »
firewall就是firewall,
ap server就是ap server,
在企業考慮下是沒人會把它弄在一台上的!

用Linux作VPN Gateway,
也可以讓它在十秒內開機完成,
假如還是擔心,
那還可以加上HA的套件,
服務的中斷大概在4秒以內.

不管用什麼設備或軟體,
良好的設計及維護才是最重要的,
有錢...買現成的Solution也是不錯的.