Forum » Operacijski sistemi » IPSec; kako vzpostaviti taksno lokalno povezavo?
IPSec; kako vzpostaviti taksno lokalno povezavo?
Microsoft ::
Nekako sem se spravil povezati dva PCja tako, da bi izmenjava podatkov bila enkriptana s pomocjo IPSec (vse to delam kot poizkus in ne kot neko potrebo, da to res rabim).
Dva PCja sta povezana oba direktno na router, komunikacija deluje bp. Potem pa sem na serverju nastavil, da dovoljuje komunikacijo z drugim PCjem samo, ce je ta varna (uporablja IPSec). Nastavljeno je tako, da to zahteva za TCP na vseh portih.
No, in tu se ustavi. :)) Komunikacija ni uspesna.
Sumim, da je nekaj nepravilno nastavljeno na client PCju. Recimo, nastavljeno imam, da je destination IP 192.168.123.245, kar je IP od clinet PCja. V tem primeru povezava ne dela. Ce nastavim drugacen IP, recimo 192.168.123.246 (ta IP ni nikjer v omrezju), povezava dela normalno.
Iz tega nekako sklepam, da je na serverju pravilno nasvatljeno, za kater PC veljajo ta pravila.
Kot sem ze zgoraj napisal, sem nastavil tako, da se komunikacija dovoli samo, ce je varna. V nasprotnem primeru se zavrne.
To sem tudi preizkusil. Ce v Filter Action izberem, da se dovoli ne-varna povezava, lepo dela. Ce pa nastavim, da je povezava lahko samo varna, pa ne deluje.
Filter Addressing
Filter Protocol
Filter Actionl
Nekaj casa sem tudi gledal Network Monitor, kjer lahko potem gledas, kaj se prenasa po omrezju. Gledal sem za paketi ESP, vendar jih nisem nasel. Bi moral mogoce gledati za cem drugim?
Torej, kaj je narobe nastavljeno, da ne dela? A je potrebno na clinet PCjih kaj nastaviti, da poskusajo oz. da se odzovejo na IPSec?
by Miha
Dva PCja sta povezana oba direktno na router, komunikacija deluje bp. Potem pa sem na serverju nastavil, da dovoljuje komunikacijo z drugim PCjem samo, ce je ta varna (uporablja IPSec). Nastavljeno je tako, da to zahteva za TCP na vseh portih.
No, in tu se ustavi. :)) Komunikacija ni uspesna.
Sumim, da je nekaj nepravilno nastavljeno na client PCju. Recimo, nastavljeno imam, da je destination IP 192.168.123.245, kar je IP od clinet PCja. V tem primeru povezava ne dela. Ce nastavim drugacen IP, recimo 192.168.123.246 (ta IP ni nikjer v omrezju), povezava dela normalno.
Iz tega nekako sklepam, da je na serverju pravilno nasvatljeno, za kater PC veljajo ta pravila.
Kot sem ze zgoraj napisal, sem nastavil tako, da se komunikacija dovoli samo, ce je varna. V nasprotnem primeru se zavrne.
To sem tudi preizkusil. Ce v Filter Action izberem, da se dovoli ne-varna povezava, lepo dela. Ce pa nastavim, da je povezava lahko samo varna, pa ne deluje.
Filter Addressing
Filter Protocol
Filter Actionl
Nekaj casa sem tudi gledal Network Monitor, kjer lahko potem gledas, kaj se prenasa po omrezju. Gledal sem za paketi ESP, vendar jih nisem nasel. Bi moral mogoce gledati za cem drugim?
Torej, kaj je narobe nastavljeno, da ne dela? A je potrebno na clinet PCjih kaj nastaviti, da poskusajo oz. da se odzovejo na IPSec?
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
- spremenil: Microsoft ()
Microsoft ::
Sem pa sedajle videl, da mi je nametalo polno enakih errorjev.
The IPSec driver failed the oakley negotiation with 192.168.123.245 since no filter exists to protect packets to that destination. Please check the configuration on this machine to ensure at least one filter matches the destination.
by Miha
The IPSec driver failed the oakley negotiation with 192.168.123.245 since no filter exists to protect packets to that destination. Please check the configuration on this machine to ensure at least one filter matches the destination.
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
b ::
Karkoli ti ze pocnes na routerju, to nima nobene zveze, ker le-ta niti ne vidi paketkov med dvema portoma na LAN strani.
Namesto routerja z n porti si predstavljaj, da imas router z WAN portom ter LAN portom, ki je povezan na switch, ti pa imas na switch prikljucena 2 racunalnika.
Tisti 4 porti na LAN strani routerja niso nic drugega kot 4-portni switch, ki je z routerjem povezan direktno namesto preko petega porta.
Samo v informacijo, da ne bos mislil, da ti router karkoli blokira.
Namesto routerja z n porti si predstavljaj, da imas router z WAN portom ter LAN portom, ki je povezan na switch, ti pa imas na switch prikljucena 2 racunalnika.
Tisti 4 porti na LAN strani routerja niso nic drugega kot 4-portni switch, ki je z routerjem povezan direktno namesto preko petega porta.
Samo v informacijo, da ne bos mislil, da ti router karkoli blokira.
Microsoft ::
Ma ja, sej sm potem sel poskusit se direkt priklopit, pa vseeno de dela. Vedno mi namece polno tistih errorjev.
Me pa nekaj zanima. Katere povezave vse lahko 'prisilm' v delovanje z IPSec?
by Miha
Me pa nekaj zanima. Katere povezave vse lahko 'prisilm' v delovanje z IPSec?
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
b ::
Cez IPSec lahko posiljas katerikoli IP promet. Torej TCP, UDP, GRE, ...
Ampak osnove tega, kako deluje IPSec bos moral pa kje drugje poiskat. Je tega cisto prevec, da bi tukaj razlagal.
Pa se ena informacija: win2k implementacija je obupna za nastavljanje. Jaz je nisem nikoli postekal. Je bolj prakticno gor obesit kaksen VPN client, recimo Safenet-ovega.
Ampak osnove tega, kako deluje IPSec bos moral pa kje drugje poiskat. Je tega cisto prevec, da bi tukaj razlagal.
Pa se ena informacija: win2k implementacija je obupna za nastavljanje. Jaz je nisem nikoli postekal. Je bolj prakticno gor obesit kaksen VPN client, recimo Safenet-ovega.
Microsoft ::
No, zdej mi je pa nekako uspelo. :))
Vsa stvar je blia v tem, da sem pod Data and address integrity without encrytpion (AH) prej izbral MD5 ali pa SHA1. Sedaj pa sem tisto pustil prazno in lepo dela.
Zaenkrat pa mi tole dela samo z direktno povezavo. On PC, ki je preko routerja, zaenkrat kljub spremembam ne dela. Me pa zanima, ce ima to kak pomen, da je on PC, ki ne dela, Windows XP, server je pa Windows 2000?
by Miha
Vsa stvar je blia v tem, da sem pod Data and address integrity without encrytpion (AH) prej izbral MD5 ali pa SHA1. Sedaj pa sem tisto pustil prazno in lepo dela.
Zaenkrat pa mi tole dela samo z direktno povezavo. On PC, ki je preko routerja, zaenkrat kljub spremembam ne dela. Me pa zanima, ce ima to kak pomen, da je on PC, ki ne dela, Windows XP, server je pa Windows 2000?
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
Mr.B ::
Namesti si certifikat ali ključ za vsak računalnik posebej, pa seveda da sta ti dva certifikata med samo trusted. Pa za ipsec deluje konzola samo da pingaš s ipsec-om. Pa preveri da delujeat med sabo, če ju povežeš s cros kablom...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
To accuse the Jewish state of genocide is to cross a moral threshold
Mr.B ::
Preveri, kje imaš un PC priklopljen, da nimaš slučajno na WN portu, pa delaš WAN to LAN in obratno, in če je to moraš preveriti če sploh podpira ipsec, ter če , na kakšen način, ponavadi je na ključ.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
To accuse the Jewish state of genocide is to cross a moral threshold
Microsoft ::
Ma zdele sm dobil en Warning message.
Zdej, jst imam domeno in WinXP ni v domeni. Sm zdej spermenil avthentikacijo iz Kerberos na nek string. In dela. :))))
Nc, grem zdele mal out, pa bom pol zvecer naprej tole delal. :))
by Miha
Zdej, jst imam domeno in WinXP ni v domeni. Sm zdej spermenil avthentikacijo iz Kerberos na nek string. In dela. :))))
Nc, grem zdele mal out, pa bom pol zvecer naprej tole delal. :))
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Mikrotik nastavitveOddelek: Omrežja in internet | 3197 (2597) | Poldi112 |
» | VPN connection iz domačega omrežja v služboOddelek: Omrežja in internet | 4048 (3706) | darh |
» | "Zakaj Linux ni primeren za namizje?" (strani: 1 2 )Oddelek: Novice / Ostala programska oprema | 6491 (6491) | Stalin |
» | Uporabniki ne ločijo spama od navadne pošteOddelek: Novice / Omrežja / internet | 3405 (3405) | jeti51 |
» | Office 2003 System Service Pack 1Oddelek: Novice / Pisarniški paketi | 5863 (5863) | HitriPepe |