[linux-l] VPN

Stephan Uhlmann su at su2.info
Fr Jul 12 15:37:26 CEST 2002 

On Friday 12 July 2002 08:58, Steffen Dettmer wrote:
> Beim Transportmode werden die IPs im Prinzip nicht geändert. Das
> nützt Dir nix, weil ein Packet an den SambaServer dann ja ne
> 192.168.x.x ZielIP kriegen würde (also ein IPSec Packet), was im
> Internet nicht geroutet werden würde. Weiterhin müßte der
> Sambaserver das IPSec machen, nicht der Router. Das geht nicht
> mit Masqurarding, klar.

Stimmt. Zuerst dachte ich ich koennte das machen indem mein Gateway erst die IP 
Pakete verschluesselt und dann NATtet (wie ist da das Verb? oder 
masqueradet?). Oder andersrum. Kommt aufs gleiche drauf raus.

Aber denn muesste ich Portforwarding oder so einrichten um den Sambaserver 
von aussen erreichbar zu machen und den internen DNS-Server am besten auch 
und den Exchange-Server (Nicht schlagen! Ich bin nicht Schuld!) und ... und 
.. und. Nicht so elegant wie tunneln, ja.


> Um das mal abzukürzen: Du möchtest IPSec ESP im Tunnelmode.

Ok ;-)

> Hier ist mit Protocol kein OSI level 5+ Protocol gemeint, sondern
> ein OSI-Level 4 Protocol, eines, das "neben" TCP und UDP liegt und
> ESP oder AH heißt. Beide kennen keine Ports (aber innen liegende
> weitere Header, z.B. wenn TCP, kennen dann Ports). TCP ist
> numerisch 6, ESP 50, AH 51 IIRC. Diese Protocolnumber steht dann
> im IP Header drin. Bei ner 6 oder ner 17 (UDP) gibt's dann z.B.
> Ports.

Ok. Wenn das dein "Protokoll" ist, dann ist das was anderes als mein 
"Protokoll". Verwirrende Namensgebung. Vielleicht sollte man zwischen 
"Protokoll" (HTTP, FTP, Telnet usw.) und "Protocol" (das was so huebsch in 
/etc/protocols aufgelistet ist) unterscheiden.


>
> Keine Ahnung, die wechseln die Productnamen wie die Unterwäsche
>
> :) Zumindestens früher gab's das auch mal extra. Aber die
>
> Webseiten fand ich eh immer zum Kotzen :)
>

Ich auch. Dieses Marketing-Geschwafel verwirrt mehr als das es einem weiter 
hilft. Ich glaube aber jetzt, dass es die "McAfee E-Business Server Partner 
Edition" ist.

Naja... jedenfalls danke nochmal. Ich hoffe ich finde bald mal Zeit das hier 
dann auch aufzusetzen.


Stephan

-- 
I intend to live forever. So far so good.

Mehr Informationen über die Mailingliste linux-l