vpn "prawie" dzialajacy...

Paweł Sikora pluto w agmk.net
Nie, 10 Sty 2010, 18:40:14 CET


On Monday 05 October 2009 21:12:11 Arkadiusz Rdest wrote:
> Paweł Sikora wrote:
> > na razie z roznic widze, tyle, ze przy polaczeniu laptop-upc klient
> > vpn dostaje inne serwery dns, niz w przypadku polaczenia laptop-pld-upc,
> > ale byc moze to takie celowe zachowanie ichnego serwera dhcp,
> > ktory rozladowuje obciazenie.
> 
> ja bym najpier zapytal administratorw serwera VPN w twojej firmie, czy
> tak ma byc, i ktore adresy DNS'ow sa prawidlowe.
> 
> > chetnie wyslucham porad, co jeszcze moglbym sprawdzic i przetestowac
> > z poziomu laptop, lub pld, aby dotrzec do sedna problemu.
> 
> mowiesz ze pingujesz DNS'y, a czy probowales np. rozwiazac za ich pomoca
> jakies nazwy domenowe (nslookup)? albo sprobowac bedac polaczony przez
> pld, rozwiac nazwy przy uzyciu tych DNS'ow ktore dostajesz jak sie
> podlaczasz bezposrednio przez upc.

zrobilem ostatnio maly rekonesans na laptopie.

w obu przypadkach podlaczenia (laptop->modem i laptop->nat->modem)
klient vpn (juniper network connect) dziala imho poprawnie.
z tego co widze na sniferku (microsoft network monitor), to ipsec
uzywa nat-traversal i osadzony w pakietach udp przemyka przez nat
w obie strony bez zadnej tragedii.
sam zas klient vpn, trzyma jeszcze polaczenie kontrolne (najpierw
strona www do logowania, potem polaczenie samego junipera) do firmy
na porcie 443, z czym nat tez nie ma problemu. tzw. "auto diagnostyka"
klienta vpn (pingi do gateway, dns, wins, itp.) przechodzi w obu
przypadkach bez problemow.

pierwszy problem pojawia sie przy testach z nslookup (w obu testach
dostaje aktualnie od dhcp te same ustawienia, wiec odpada mi mozliwosc
roznej konfiguracji roznych serwerow dns).

idziemy dalej, w firmie jest proxy i portal intranetowy.

dns z vpn-a w obu przypadkach rozwiazuje ladnie adres proxy
(czyli ipsec, ruting, nat, modem dzialaja), ale juz adres intranetowego
portalu rozwiazuje sie tylko w ukladzie bez mojego domowego nat-a.

podejzewam, ze serwer vpn w firmie w zaleznosci od tego, czy wykryje
(jest taki algorytm opisany w rfc przy IKE) nat dzielacy go od klienta,
to moze cos sygnalizowac do serwerow firmowych, ale pewnosci nie mam,
bo tego softu juniper-a nie znam wcale.


Więcej informacji o liście dyskusyjnej pld-users-pl