[kim-aa]

В борьбе с VPN или IP-телефонией неплохо показала себя такая тактика:
1) Берете второй Внешний IP и присваиваете его фаерволу.
2) На фаерволе настраиваете не Port Mapping, а IP Mapping, т. е. прямое отображение внешнего IP на внутренний.
(Все горе в том, что весьма небольшое количество фаерволов знают Все протоколы IP стека, и сответственно могут настроить любой потребный Вам Port Mapping.
IP Mapping позволяет обойти такое ограничение фаерволов)
3) Созерцаете на фаерволе реальные соединения образуемые Вашими приложениями и режете все ненужное.

[vippy]

Файер то работает. По карйней мере telnet domen.ru 1723 проходит
Яж говорю - рубится не на этапе связи, а на этапе проверки имени и пароля.

[kim-aa]

Вам про это и говорят, что скорее всего одного правила с PPTP мало, а что именно нужно в полевых условиях проще выяснить IP mapping-ом.
(Напримеркогда я настраивал VPN при помощи IPSec на FreeBSD, я с удивлением выяснил что используются как минимум три протокола: протокол обмена открытыми ключами, протокол шифрации на основе этих самих ключей и собственно протокол инкапсуляции IP over IP)

[vippy]

Ну тогда вопросы:
1. что такое Ip Mapping и как им пользоваться ? ))
2. Второй адрес я взять не могу

Цитата:

протокол обмена открытыми ключами, протокол шифрации на основе этих самих ключей и собственно протокол инкапсуляции IP over IP

Т.е. надо еще и это на файерволле прописать?

Я кстати пробовал написать и такое
from inet to шлюз TCP1723 (Protocol ANY) MAP win2k3_server

[kim-aa]

1) IP Mapping это прямое отображение IP to IP (Я, по крайней мере, пользовал его под таким именем. Ведь сколько фирм столько и "погонял" у технологий.)
Это когда ВСЕ пакеты присылаемые на определенный IP ретранслируются на другой IP.
2)

Цитата:

Т.е. надо еще и это на файерволле прописать?

Аллах его знает. Это я пример с IPSec приводил чтобы показать что Вам нужно достаточно хорошо представлять работу VPN на PPTP для поднятия его ЗА NAT.
3) Я бы рекомендовал включить на фаерволе полные логи и смотреть отвергнутые соединения.
4) Самый простой случай (когда себя не утруждают изучением процесса) это поднятие VPN на шлюзе.
5) Да, кстати, а аутентификация какая используется?
6) Вобще такие вещи лучше предварительно макетировать, т.е. собрать копию вашего фаервола ,внешнего клиента и тренироваться "на собачках"

[RaZZoRRo]

2 vippy

если не изменяет память то при формировани vpn на основе pptp нужны :
порт tcp 1723
порт 47 протокола gre

[vippy]

Цитата:

если не изменяет память то при формировани vpn на основе pptp нужны : порт tcp 1723 порт 47 протокола gre

[21/Mar/2006 11:15:16] PERMIT "NKnet" packet to inet, proto:TCP, len:40, ip/port:192.168.0.1:1723 -> 81.1.1.94:2404, flags: ACK , seq:667102191 ack:3886907479, win:65187, tcplen:0
[21/Mar/2006 11:15:16] DROP "Default traffic rule" packet from inet, proto:47, len:57, ip:81.1.1.94 -> 192.168.1.2, plen:37


Где 192.168.0.1 - адрес сервера, 192.168.1.2 адрес сетевушки на шлюзе смотрящей в инет

Я никак не мог понять что это за вторая строчка. Пойду разбираться, ибо в Керио про этот протокол нет ни слова.

[vippy]

итак вопрос. как научить старенький керио понимать GRE :-)

[vippy]

Ау )) Как заставить керио разрешить GRE ??

[vippy]

Мне никто помочь не может ?