Witam,

czy ktoś może mi powiedzieć czy jest możliwe zestawienie tunelu VPN pomiędzy serwerem postawionym na debianie, a routerem Linksys'a np. Linksys RVL200-EU 4-Port SSL/IPSec VPN, który znajduje się w innej lokalizacji? Do routera linksys'a będą podłączeni userzy, którzy mogliby przez VPN'a wejść na serwer. Czy takie rozwiązanie jest możliwe? Jeśli nie to czy ktoś może zaproponować rozwiązanie umożliwiające taką komunikację? Ważna jest tu tez cena rozwiązania.

Z góry dzięki za wszelkie odpowiedzi

pozdrawiam

Cytat: Witam,

czy ktoś może mi powiedzieć czy jest możliwe zestawienie tunelu VPN pomiędzy serwerem postawionym na debianie, a routerem Linksys'a np. Linksys RVL200-EU 4-Port SSL/IPSec VPN, który znajduje się w innej lokalizacji? Do routera linksys'a będą podłączeni userzy, którzy mogliby przez VPN'a wejść na serwer. Czy takie rozwiązanie jest możliwe? Jeśli nie to czy ktoś może zaproponować rozwiązanie umożliwiające taką komunikację? Ważna jest tu tez cena rozwiązania.

Z góry dzięki za wszelkie odpowiedzi

pozdrawiam

OpenVPN

---------- 09:00 18.07.2005 ----------

Hejka

Dzieki za odpowiedz
Tak mniej więcej o to mi chodzi.
Juz wiem ze mam edytowac plik rc.local
Jedak musze teraz podnieśc ipsec'a do VPN'a
Znalazłem gdzies cos takiego:

==================================
Autostart the IPSec VPN

/usr/local/bin/ipsecctrl R
Load the ip_gre module

modprobe ip_gre
Create the GRE tunnel

ip tunnel add TUNNEL_NAME mode gre local LOCAL_GREEN_ADDRESS remote REMOTE_GREEN_ADDRESS
Configure the tunnel interface

ifconfig TUNNEL_NAME up LOCAL_TUNNEL_ADDRESS netmask TUNNEL_SUBNET_MASK
adjust the firewall

iptables –I FORWARD –i TUNNEL_NAME -j ACCEPT
add required routes (as many as needed)

route add –net REMOTE_GREEN_SUBNET netmask REMOTE_GREEN_SUBNETMASK gw REMOTE_TUNNEL_ADDRESS

route add –net LOCAL_INDIRECT_LAN1_SUBNET netmaskLOCAL_INDIRECT_LAN1_SUBNETMASK gw LOCAL_INDIRECT_LAN1_GATEWAY

route add –net REMOTE_INDIRECT_LAN1_SUBNET netmask REMOTE_INDIRECT_LAN1_SUBNETMASK gw REMOTE_TUNNEL_ADDRESS

==================================

Wpisałem najpierw 1szą linie i niebardzo zadziałało

#Autostart the IPSec VPN

/usr/local/bin/ipsecctrl R

---------- 20:09 ----------

poszło <ok>

Ten sam AS i prefix moze byc rozglaszany przez lokacje oddalone nawet tysiace kilometrow od siebie, jedna z BGP prependem powiedzmy 5 razy. Wszyscy klienci routowani sa do pierwszej, jak Chinczycy przywala atomowka to przestanie rozglaszac i wszyscy leca do drugiej.
Providerzy czasami wymagaja by na wszystkich punktach styku z nimi rozglaszac im ten sam zestaw prefixow - jesli mamy jakies dodatkowe nie-redundantne to musimy zapewnic routing klientow ktorzy weszli przez A a ich cel znajduje sie w B. Dla ruchu od klienta wystarczy tunnel GRE i iBGP, do replikacji danych IPSec VPN (albo dzierzawiona fala DWDM) tyle ze serwery musza miec dodatkowe unikatowe adresy. Jesli w A i B uzywamy roznych ISP to problem rozglaszania tych samych zestawow nie istnieje.

Failover nastepuje z predkoscia konwergencji BGP, czesto dluzsza niz minuta (zalezy z jak wielkiej czesci swiata zbieramy klientow).

W praktyce rownie dobry jest DNS z ustawionym TTL na 60s, tyle ze DNS serwer(y) musi wydolic z obsluga wszystkich zapytan.

Cytat: Broadly interoperable with industry leading IPSec VPN gateways it gives secure mobile access to corporate email, intranet content and enterprise applications.

Certicom UMA Device Software provides the core functionality that is required by mobile devices implementing UMA capabilities.

UMA:
Unlicensed Mobile Access (UMA) addresses the Fixed Mobile Convergence (FMC) market by enabling a mobile device to access the core of a cellular network using an IP connection that is secured by a standard IPSec VPN. UMA provides the mobile device with the exact same feature set that is available when the mobile device is using the standard GSM cellular connection.

More detailed explanation:
1. A mobile subscriber with a UMA-enabled, dual-mode handset moves within range of an unlicensed wireless network to which the handset is allowed to connect.
2. Upon connecting, the handset contacts the UMA Network Controller (UNC) over the broadband IP access network to be authenticated and authorized to access GSM voice and GPRS data services via the unlicensed wireless network.
3. If approved, the subscriber’s current location information stored in the core network is updated, and from that point on all mobile voice and data traffic is routed to the handset via the Unlicensed Mobile Access Network (UMAN) rather than the cellular radio access network (RAN).
4. ROAMING: When a UMA-enabled subscriber moves outside the range of an unlicensed wireless network to which they are connected, the UNC and handset facilitate roaming back to the licensed outdoor network. This roaming process is completely transparent to the subscriber.
5. HANDOVER: If a subscriber is on an active GSM voice call or GPRS data session when they come within range (or out of range) of an unlicensed wireless network, that voice call or data session can automatically handover between access networks with no discernable service interruption. Handovers are completely transparent to the subscriber.

Link:

Witam,

oto topologia sieci IPSec VPN:

w jaki sposób skonfigurować ASĘ aby możliwy był dostęp z podsieci 10.0.1.0/24 do podsieci 10.0.2.0/24? Czy jest możliwe zawracanie routingu z jednego tunelu na drugi?

Dzięki za pomoc.

Ok, certyfikat zainstalowany. Muszę tylko dowiedzieć się jakiego typu bramka jest na uczelni i ta opcje wybrać w VPN Menagerze i próbować... W razie postępów w działaniu będę pisał.

Jeszcze takie pytanie.. Może ktoś jest bardziej kumaty ode mnie. Takie połączenia jak na naszych uczelniach to połączenia oparte na protokole IPSec czy PPTP?? Bo znalazłem dosyć obszerne info na obcojęzycznych forach, mówiące jasno i ściśle, że po prostu P1i nie obsługuje PPTP. Zastanawia mnie więc czy to przypadkiem nie tego typu są połączenia...

Oto te info oraz niby kilka "tipsów":

Detailed description

Support for the pptp and l2tp protocol would make the p1i useful for customers without the opportunity to casually install a new vpn- server on their company or university network.

Even a more standard IPSec approach will help, if we are allowed to connect to a standards-compliant IPSec server (eg. OpenSwan), instead of an expensive commercial solution. As IPSec is supported already, this should be relatively easy to do.
Ja 18:44:24
Well, the p1 doesn't support vpn over pptp, so you won't get the vpn to work (and yes, even the iPhone can store a pptp config. Fricking great job - a business- phone outdone by the iPhone. WOOT! GO ).
Not like anyone has mentioned this before, either, of course.

Anyway.. so if you want to log on to a domain with the wlan, you need to add an ...@whateverdomain after the username.

So your solution would be to log on to wlan with a "domain", and then use the proxy- server with (the indirect) auth, if that's possible to access the web. It may or may not be possible to access the intranet this way. But it may be that you're still using the generic vpn point when you're using any of the local wlan points, so it's not certain that will work.
Ja 18:45:53
Certicom VPN Manager UIQ3 1.0.0
Broadly interoperable with industry leading IPSec VPN gateways it gives secure mobile access to corporate email, intranet content and enterprise applications.

here is the tips for connection ur uiq3 device to one of Cisco products(ASA 5500 Cisco):

1. Open VPN Manager and create a new account.
2. Name the account with any name you prefer.
3. Give it any description.
4. Chose Gateway Type: Cisco unified client
5. Gateway address: Public IP on the outside Interface
6. Then skip the rest on this page and press "Next"
7. Select Extended auth. (XAUTH)
8. XAUT type: Generic XAUTH
9. GroupName: Chose the group name you created in your ASA 5500 imoprtant that you type the exact name of the group. If you created a group named P990 then you cant spell it p990 it has to be exact P990
10. The same for Group password!!!!
11. User name also importen to type exactly!!!
12. User password you have to type in when you connect your P990 to the ASA 5500 so skip this step and press Next.
13. Every thing here should be set to auto so just press Next
14. The same with IP setup just press Next
15. If you use dns then type the ip address to the dns servers or if not just check "Query DNS"

Witam

Pojawił się nowy firmware (3.2.2 Angielski) do Vigora serii 2950

Nowy firmware do pobrania z

A to co poprawiono i dodano:

1. Support Windows Vista SP1 SSTP (Secure Socket Tunneling Protocol)
2. Support multiple certificates for IPSec and SSTP modes
3. Support “Change default route to this VPN tunnel” (setting in LAN-to-LAN profile) for WAN1 and WAN2 interfaces
4. Support load balance policy recorder
5. Support auto refresh for Traffic Graph
6. Corrected: The router cannot work properly in L2TP mode.
7. Corrected: UPnP devices cannot be detected in PPPoE mode in Apple Mac.

Pozdrawiam

Cześć!
Jest to problem kluczy IPSec

Ja Ci napiszę jakie ja wybralem opcje i szyfrowanie IPSec i u mnie to działa:
Po stronie VPNa odbiorczego (serwera VPN Dial-IN) zaznaczasz opcje:
Poziom zabezpieczeń IPSec:
Średni(AH) - stawiasz fajeczkę
Wysoki(ESP)
DES 3DES AES - zaznaczas fajeczki

Następnie po stronie klient VPN (Dial-out) zaznaczasz taką opcję:
Poziom zabezpieczeń IPSec:
Wysoki (ESP) - AES z autektykacją:
Klikasz zaawansowane i bybierasz DES_MD5_G1
Reszte pozostawiasz bez zmian.
Jak napisałem jest to jedna z propozycji bo jak sie przyjrzysz to opcji jest wiele, różnych kodowań także bez liku. Ale ta opcja u mnie smiga.
Pozdro

Firmware 3.2.0, 3.2.1

Połączenie VPN L2TP, L2TP IPSec,
klient Draytek lub Windows

Wszystko działa, ping i inne usługi.

Po pewnym czasie (15, 30, 60 minut nie ma reguły) ping przestaje chodzić (reszta usług też)

Router i komputer widzą połączenie, puszczam pinga - brak odpowiedzi ("Upłynął limit ...") (na routerze w stusie połączenia VPN wartość Rx Pkts rośnie, Tx Pkts nie zmienia się).

Co jakiś czas jeden, dwa pingi przejdą z czasem kilkutysięcy milisekund. Rozłączenie i połączenie ponowne nic nie zmienia.

Łącza internetowe na obu końcach działają, łączność bezpośrednia między punktami przez internet także.

Wygląda to, tak jakby router się "przymulał", bo po pewnym czasie (godzina, dwie - dość długim) wszystko rusza dalej.

Hmm cóż, będę więc dalej próbował. A gdzie wyczytałeś, że mogę zgłosić się i poprosić o taki dostęp przez VPN Menagera??

Na wyczytałem, że protokół OpenVPN nie korzysta z IPsec, więc wydaje mi się, że poprostu P1i tego nie obsługuje, bo o ile się orientuje to obsługuje on jedynie protokoły IPsec. Mylę się?

Skonfigurowałem konto WiFi wg Twoich danych, tych szyfrowań itp, wpisałem swoją nazwe loginu i hasło(mam takie samo jak na forum), więc jutro pozostaje tylko spróbować się połączyć. Normalnie padne ze szczęścia jeśli się uda..

Cytat: Częstotliwość pracy 2,4GHz
Transfer 11Mbps
Łatwa konfiguracja i instalacja Plug and Play
Wsparcie dla szyfrowania 128-bit WEP
Ochrona NAT firewall
Dostęp do sieci lokalnej z zewnątrz poprzez internet z wykorzystaniem VPN
Wsparcie dla IPSec i PPTP Pass-Trough
Administrowanie i upgrade z poziomu przeglądarki WWW
Konfigurowalny serwer DHCP
Zaawansowane funkcje zabezpieczeń przed skanowaniem portów
Filtrowanie adresow MAC oraz hosting DMZ

buahahaha kupuje 4

mnie tak dziwi to ze nawet na oczy nie widzieliscie tego APeka a sie wysmiewacie ;) to ze nie jest z linksysa to nie znaczy ze jest do du... przeciez ;)...

Witam

Pojawił się nowy firmware (3.2.1 Polski) do Vigora serii 2930

Nowy firmware do pobrania z

A to co poprawiono i dodano:

1. Support VPN backup and VPN load balance
2. Support L2TP WAN
3. Add VPN setup wizard
4. Add WEB UI for CPU usage and memory usage
5. Corrected: VPN remote dial in not work in “IP unnumbered” environment.
6. Corrected: VPN issues about stability in IPSec and X.509.
7. Improve the compatibility problem between WLAN and mobile phone, Dopod 818 pro.
8. Support individual DNS server for WAN and LAN.

Pozdrawiam

Cytat: /sbin/ipportfw -A -t a.b.c.d/1723 -R 192.168.1.x/1723
/sbin/ipportfw -A -u a.b.c.d/500 -R 192.168.1.x/500
/sbin/ipportfw -A -u a.b.c.d/2746 -R 192.168.1.x/2746
/sbin/ipportfw -A -t a.b.c.d/2746 -R 192.168.1.x/2746
/sbin/ipfwd --masq 192.168.1.x 47 &
/sbin/ipfwd --masq 192.168.1.x 50 &

ipportfw przekierowuje ruch w zwyczajny sposób, natomiast ipfwd nie zmienia numeru portu przed i za NAT'em. Jeśli ktoś z sieci łączy się ze zdalnym serwerem VPN i ma win2000 to musi jeszcze sobie zainstalować łatę poprawiającą działanie vpn'a (wiem że był występował taki problem nie pamiętam czy przy IPSEC czy przy PPTP)
a.b.c.d to IP serwera od strony Internetu
192.168.1.x to IP usera w sieci.

Witam !!!

Mam dostęp do internetu drogą radiową. A mój dostawca ostatnio ma coraz więcej włamań i stwierdził, że klienci będą się łączyć przez VPN , które będzie oparte o IPsec. Więc tak czy siak muszę coś z tym zrobić. i żeby ludki w mojej sieci miały dalej dostęp do netu muszę jakoś skonfigurować NND. Stąd moja prośba.

A IPsec wg. Wikipedi to zbiór protokołów służących implementacji bezpiecznych połączeń oraz wymiany kluczy kodowych pomiędzy komputerami. Protokoły tej grupy mogą być wykorzystywane do tworzenia Wirtualnej Sieci Prywatnej (ang. VPN).

Pozdrawiam.

Częstotliwość pracy 2,4GHz
Transfer 11Mbps
Łatwa konfiguracja i instalacja Plug and Play
Wsparcie dla szyfrowania 128-bit WEP
Ochrona NAT firewall
Dostęp do sieci lokalnej z zewnątrz poprzez internet z wykorzystaniem VPN
Wsparcie dla IPSec i PPTP Pass-Trough
Administrowanie i upgrade z poziomu przeglądarki WWW
Konfigurowalny serwer DHCP
Zaawansowane funkcje zabezpieczeń przed skanowaniem portów
Filtrowanie adresow MAC oraz hosting DMZ

buahahaha kupuje 4

---------- 17:37 12.07.2005 ----------

Hejka

mam postawiony system openBSD a na nim IPCOP'a
skonfigurowałem sobie połączenie VPN pomiedzy punktami.
Jednak gdy restaruje mi sie serwer gdzie postawiłem openBSD nie podnosi mi sie IPSEC, który jest niezbedny to działania VPN'a.

Moje pytanko gdzie i jak mam wpisać polecenie by IPSEC sie podnosił wraz z podnoszeniem sie systemu?

KOD:

ipsec setup --start

---------- 13:28 16.07.2005 ----------

generlanie chodzi o cos takiego jak w windowsie autostart!!!

Gdzie cos takiego jest w linuxach lub unixach???

Zdaje sobie sprawe, ze malo podalem ale o wspomnianej firmowej sieci VPN wiem tyle, ile osobie ktora ma sie a nia laczyc powiedzial administrator czyli:
1. Wyłączyć firewalle softwareowe na własnym
komputerze lub ustawić tak aby nie blokowały VPNa (VPN posiada własny)
2. w sieci powinny być odblokowane: protokół IPSEC i
Port 500 UDP
3. adresy dostępowe VPN to xxx.xxx.xxx.xxx , yyy.yyy.yyy.yyy
4. komputerze z ktorego sie laczymy należy wyłączyć agenta IPSEC.

Za jakiekolwiek sugestie czego sprobowac, czego sie dowiedziec bede wdzieczny.
Jaki blad na komputerze kliencie sie wyswietla tez nie wiem, oprocz tego, ze wystepuje "Connection Lost".

Moze akurat tyle informacji pomoze cos zasugerowac... Sam bede staral sie zdobyc wiecej.

PS.
NATowane lacze to DSL 1 z TPSA.

Pozdrawiam - Lukasz

Cytat: zanim zrobilem vpn w sieci byly 3 hosty i nie potrzebowaly adresu serwera wins aby sie widziec. ma to jakies znaczenie?

Nie ma. Wpisz adres IP serwera WINS i napisz o postępach.

Ke ?
Bez serwera wins wszystko dzieje sie w oparciu o rozgloszenia.
Serwer jest niewidoczny po drugiej stronie bo przez VPN nie przechodza rozgloszenia.
Po prostu IPSEC ich nie przenosi, zeby dzialaly trzeba dodatkowo użyc GRE enkapsulowanego przez IPSEC.
Więc czy nie włączyć prościej korzystać z WINS?

skoro nie mogę wymienić modemu od DSL z TP, tzn że jak kupię router z wejściem RJ-45 i możliwością zestawiania tuneli VPN IPSec to po podłączeniu modemu od TPsy do routera kablem ethernetowym, a później do routera podłączę hosty to będzie to działać ?? znalazłem panel administracyjny Linksysa AG241:

i czy czasem w opcjach nie ma tam możliwości dostosowania routera do pracy dla DSL ?? Oczywiście moge się mylić i byłbym wdzięczny za wyprowadzenie mnie z błędu :-)

Cytat: Nieistotnym jest czy dzieciaki będą miały 'admina', czy też nie. Jeżeli ma to być zrobione - to niech to będzie zrobione dobrze. W końcu m00n się pod tym podpisze i;
primo - następcy (admini sieci) będą mieli respect dla m00na bo zrobił to dobrze
secundo - jest kasa i są możliwości a więc m00n może się nauczyć jak poprawnie budować sieci.

Snaj; co rozumiesz przez dzielenie domeny broadcastowej?

Wiesz rownie dobrze mozna robic ipsec i wprowadzac inne nowosci. Ale coz ja nie pisze ze vpn jest zly tylko wedlug mnie nie ma potrzeby implementacji jego w tym przypadku. Zwykle vlan-y poradzilyby tutaj ze wszystkim.

Co do domen broadcastowych czyli rozgloszeniowych - wiadomo co jest jedna z glownych cech ruterow dzielenie domeny tejze na mniejsze, tak samo jak zwykle switche dziela domene kolizyjna na mniejsze. Rozchodzi mi sie o to jak wiele wspolnego ma ruter ze switchem 3L,a co je wlasciwie rozni.

Cytat: w ASI-e to mozna zrobic tunneled default gateway a w IOS-ie set ip default next-hop do jakiegos routera w sieci wewnetrznej ktory to wynatuje

albo można też zanatować na samej ASIE/ISR
chociaz na ASIE to nie wiem jak

(tak wiem asa to tez ios ale jakis taki inny )

Cytat: !--- Command that permits IPsec traffic to enter and exit the same interface:
same-security-traffic permit intra-interface

!--- The NAT statement to define what to encrypt (the addresses from the vpn-pool):
nat (outside) 1 192.168.10.0 255.255.255.0

Po pierwsze musisz dokładniej opisać swój problem. Z tego co zrozumiałem:
serwer 1 ma podpięty na którymś interfejsie LAN z użytkownikami oraz interfejs 10.8.0.1
serwer 2 ma podpięty internet (default GW) i drugi interfejs 10.8.0.2

czy problem sprawia aby użytkownicy LANu gadali z serwerem 2?
jeśli tak to robisz SNAT czy MASQUERADE na serwerze 1
-s 192.168.0.0/24 -d 10.8.0.2/32 -j SNAT --to-source 10.8.0.1

i każesz klientom łączyć się z 10.8.0.2.

nie możesz VPNem p2p (bez tunelu? (to właściwie żaden VPN)) przesłać innych pakietów niż takich, które mają źródło i cel różne od 10.8.0.1-2

Osobiście openvpn'a nie używam, robię VPNy poprzez IPSec, używając ipsec-tools czyli to co kiedyś było KAME na BSD. Możesz też używać openswan'a

Cytat:
WAN Access Type: PPPoE
User Name: fazie
Password: ***
Service Name: service1
Connection Type: Continuos
Idle Time:     (1-1000 minutes)
MTU Size: 1480 (1360-1492 bytes)
Attain DNS Automatically: Yes
Set DNS Manually
   DNS 1:    
   DNS 2:    
   DNS 3:    
Clone MAC Address:    
  Enable uPNP
  Enable Ping Access on WAN
  Enable Web Server Access on WAN: yes
  Enable IPsec pass through on VPN connection: yes
  Enable PPTP pass through on VPN connection: yes
  Enable L2TP pass through on VPN connection: yes

Można się zainteresować jeszcze urządzeniami Asmax - konkretnie ASMAX Ar-804gu
(http://asmax.pl/prod.php?nid=95) - dla posiadaczy Neostrady.
Od blisko 3 lat użytjkuję wszakże model Br-804V (nie WIFI) + DSL ale nigdy nie było żadnych problemów.

Po za tym jeśli chcesz w miarę bezpieczniej budować sieć WIFI to powinieneś zastanowić się nad VPN, IPSec, tunelowaniem połączeń, może jakaś autoryzacja klienta podczas nawiązywania połączenia itp, a nie tylko nad podstawowymi zabezpieczeniami.

Cytat: Widzę, że się uparłeś i jesteś na "nie" , ok .

Cytat:
Ja to widzę inaczej , kompów z windą 98 jest może 2%.

Cytat:
, tak , jak starych edziów (APC bez obsługi 802.1x ).

Cytat:
Wolę poprosić klientów o instalację XP (tak samo pirackiego jak ich stary win98 - nie oszukujmy się )

Cytat: lub samemu im tego pirata zainstalować

Cytat: niż obniżać poziom bezpieczeństwa sieci i redukować go do poziomu PPtP (crack w postaci ASLEAP - atak słownikowy), czy PPPoE (wrażliwość DoS, fake koncentratory itp ).

Cytat:
IPsec , niby działa pod windami , nie wiem - nie sprawdzałem.

Cytat:
OpenVPN - działa pod windami , ale jest toporne.

Cytat:
U mnie PEAP wygrał i to jego będę wdrażał.

No to ja czekam na raporcik jak wdrozysz!

Cytat: zanim zrobilem vpn w sieci byly 3 hosty i nie potrzebowaly adresu serwera wins aby sie widziec. ma to jakies znaczenie?

Nie ma. Wpisz adres IP serwera WINS i napisz o postępach.

Ke ?
Bez serwera wins wszystko dzieje sie w oparciu o rozgloszenia.
Serwer jest niewidoczny po drugiej stronie bo przez VPN nie przechodza rozgloszenia.
Po prostu IPSEC ich nie przenosi, zeby dzialaly trzeba dodatkowo użyc GRE enkapsulowanego przez IPSEC.

Jak masz serwery z linuxem to zrób tak:

1. tunel VPN pomiędzy serwerami np. ipsec
LAN1 --- serwer1 ---internet--- serwer2 --- LAN2
--- VPN ---

powiedzmy ze interfejsy ipsec maja adresy 10.0.0.1 i 10.0.0.2
na interfejsach LAN1 jest siec 192.168.0.0/24 i na LAN2 siec 192.168.1.0/24
2. tworzysz trase do sieci LAN2 na serwerze1 via 10.0.0.2 i do LAN1 na serwerze 2 via 10.0.0.1
3. gotowe

Dokładnie - opcja IPSec pass-trough zapewnia jedynie poprawne przekazywanie pakietów poprzez IPsec przez NAT routera. Opcja przydaje się, kiedy za routerem postawisz sobie jakiś serwer VPN IPsec.

Z tego co napisałeś rozumiem, że chciałbyś, żeby sam serwer VPN był już w routerze. Tak na szybko to serwer VPN jest np. w routerach:

-Linksys RV042-EU
-Draytek Vigor 2200VG i kilka innych modeli

Moim zdaniem lepiej kupić router z linuksem i postawić na nim OpenVPN. Jedyną wadą takiego rozwiązania jest to, że do łączenia nie możesz używać wbudowanego klienta Windows...

Pytanie dotyczy tego skrótu:

Czy jeżeli w specyfikacji znajduje się taki wpis: "IPSec pass-trough" tzn. że router obsługuje tylko przekazywanie IPSec VPN ?? Chodzi mi o to, że muszę znaleźć router do Neostrady / DSL, który będzie mógł zestawiać połączenie VPN IPSec, a nie tylko przekazywać taką komunikację. Może być przewodowy. Jednym z kandydatów jest Linksys AG241-EU. Czy możecie podać jakieś alternatywy (oczywiście cena w granicach rozsądku :-) ) ?

nie za bardzo mi to działa.
2 tygodnie temu miałem zmienianego firewall'a (niestety albo stety nie ja nim administruję), ale chyba od tej zmiany mój serwer VPN nie ma internetu- nie otwierają się strony internetowe. Dla mnie nie jest to istotne, bo nie używam tego kompa do internetu, ale być może dla VPNa ma znaczenie. Dodam, że ten serwer jest w DMZcie, więc jedna karta sieciowa ma IP DMZ a druga IP sieci lokalnej. Jak dzisiaj napisałem maila do swojego IT supportu (chłopcy ze skandynawi) aby powiedzieli mi, czy mój firewall nie blokuje protokołów GRE (pptp) i ESP (IPsec), to mi odpowiedzieli:
we have opened for the following protocols:

FTP (TCP 21)
SSH (TCP 22)
TELNET (TCP 23)
IKE (UDP 500)
IKE_NAT_TRAVERSAL (UDP 4500)
L2TP (UDP 1701)
PPTP (TCP 1723)
HTTP (TCP 80)

więc chyba się źle zrozumieliśmy. Napiszę im jeszcze raz.

W każdym bądź razie, nawet jak mój komputer-klient VPN- jest wpięty do sieci lokalnej, to nie mogę się z nim połączyć VPN (testowałem po IP zewnętrznym jak i IP DMZa), a rdp na IP DMZ łączy się bez kłopotów.

Firewalle czy routery muszą jeszcze puszczać jeszcze protokoły GRE (pptp) i ESP (IPsec), ESP tak bardzo konieczne nie jest o ile serwer IPsec wspiera NAT-T (w windzie chyba było trza poprawkę na to dać)

Stawiałem vpn serwer na windzie wprawdzie bez certów i routerów pośredniczących i poszło od razu na podstawowej konfiguracji (pptp i l2tp/IPsec)

Oblookaj czy masz poprawki poinstalowane na serwie i czy klient to nie XP z SP2 które mają zbyt restrykcyjną politykę odnośnie l2tp/IPsec i działania tego z NAT (trza poprawkę zainstalować)

Sprawdź sniferem co się dzieje na kablu....

Generalnie stawiam że to sprawa z obsługą NAT-T na serwerze z IPsec, albo brak przepuszczalności na routerze protokołu GRE dla PPtP.
A jeżeli klient to xp sp2 to konieczna jest poprawka na działania właśnie z IPsec NAT-T

Jak Ci nie będzie wychodziło spróbuj podpiąć komputer kliencki wprost do serwera i wtedy popatrz czy się połączy.

Może też masz ISA serwer, tam trza bardziej się nagimnastykować z vpn'em

Z tym IP z innej puli to nie chodziło mi o adres WAN (to chello), tylko adres przypisany na połączeniu vpn. Powinien być z innej puli niz 192.168.0.0/24 bo z tego co wiem mogą powstawać konflikty przez to.

Bridge w XP nazywa się mostkowaniem dwóch połączeń, trzeba je zaznaczyć i wybrać z menu opcje "mostkowanie" czy jakoś tak (nie używam już od dawna windy więc nie pamiętam)

Osobiście testowałem naprawdę sporo różnych vpn'ów (pppoe, pptp, openvpn, l2tp/IPsec) i nie było problemów z połączeniem się przez właśnie vpn z którymś z fizycznych interfejsów serwera. Jednak klientom przyznaje adres IP z innej puli niż te interfejsy. NP:

Sieciówki w serwie IP: 192.168.3.1, druga ma 192.168.1.37 i trzecia 192.168.2.1.
Klienci łącząc się do vpn'a dostają adresy np. 192.168.10.0/24, 172.16.0.0/12.
Tyle że serwer na Linuksie. Spróbuj z tym mostkowaniem, ale ni jestem pewien czy coś to da, no i myślę że warto zmienić te automatycznie przyznawane adresy przez serwer vpn na coś innego np 192.168.1.100 - 192.168.1.200.....

teraz doczytałem że nie masz opcji mostkowania.. jesteś pewien że to XP Pro a nie home ?

Cytat: # RCSID $Id: ipsec.conf.in,v 1.15.2.2 2005/11/14 20:10:27 paul Exp $

# This file: /usr/share/doc/openswan/ipsec.conf-sample
#
# Manual: ipsec.conf.5

version 2.0 # conforms to second version of ipsec.conf specification

# basic configuration
config setup
# plutodebug / klipsdebug = "all", "none" or a combation from below:
# "raw crypt parsing emitting control klips pfkey natt x509 private"
# eg:
# plutodebug="control parsing"
#
# Only enable klipsdebug=all if you are a developer
#
# NAT-TRAVERSAL support, see README.NAT-Traversal
# nat_traversal=yes
# virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%4:172.16.0.0/12
#interfaces="ipsec0=eth0"
# Add connections here
#conn %default
#auth=esp
#esp=aes-sha2_256-256
#ike=aes-sha1-modp8192
#keylife=2h
# sample VPN connection
#conn nowy1
# Left security gateway, subnet behind it, nexthop toward right.
# type= tunnel
# authby= secret
left = 192.168.10.10 [b]#pechowa linia numer 35[/b]
leftsubnet= 192.168.10.0/24
leftnexthop= %defaultroute
# Right security gateway, subnet behind it, nexthop toward left.
right=192.168.10.113
rightsubnet=192.168.10.0/24
rightnexthop=%defaultroute
# esp= 3des-md5
# keyexchange= ike
# pfs= no
# # To authorize this connection, but not actually start it,
# # at startup, uncomment this.
# auto=start

#Disable Opportunistic Encryption
#include /etc/ipsec.d/examples/no_oe.conf

Masz kilka możliwości. Tak jak napisał cygan zrobić sobie lokalną kopię bazy. Ponieważ nie chciałem "zaśmiecać" domowego komputera instalacją serwera bazy to zrobiłem to na VMWare i co jakiś czas przynoszę sobie kopię bazy z pracy i odtwarzam w MS SQL Express zainstalowanym w wirtualnym środowisku. Druga opcja to VPN do firmy. Z tego rozwiązania tez korzystam. Przy czym mam w tym wypadku aż dwie możliwości - klasyczny VPN z klientem IPSec i VPN "clientless" w wydaniu SSL. Po co aż tak? Otóż lenistwo i wygoda wzięły górę i nie będę jeździł do każdego pracownika do domu i instalował mu klienta VPN na domowym kompie (nie każdy ma notebooka a do tego dochodzą sytuacje gdy akurat jest u rodzinki, nie zabrał notebooka na weekend, etc.) więc teraz wystarczy dowolny komp z przeglądarką WWW (VPN SSL jest realizowany w ramach sesji HTTPS) i klient remote desktop. No i opcja trzecia - poprosić o pomoc kolegów i koleżanki z forum. Podsyłasz plik na maila, wskazujesz tabele które chcesz by dołączyć do pliku i tyle. Pewnie w ciągu kilku minut znajdziesz chętnego do pomocy.

Kyniu

Cytat: Witam wszystkich

Czy może mi ktoś podać link jak skonfigurować Openswan oczywiście na Debianie. A jeśli nie link to może ktoś zna książkę do której można się odwołać choć wiem że temat VPN i IPSec jest jakoś ignorowana w literaturze powszechnej. Wynika to chyba z faktu, że niewiele osób się na tym tak naprawdę zna. Mimo to proszę o jakieś informacje. Zaznaczę, że nie jestem jakimś wymiataczem więc fajnie by było aby opis był w miarę zrozumiały.

Ignorowany w literaturze

Jesli nie potrafisz skonfigurowac IPsec na podstawie materialow ,ktore sa dostepne w sieci, a jest ich multum. to polecam rowniez OpenVPN

Plusy w porownaniu do IPSec to ze OpenVPN dziala w user space a nie w kernel space jak IPsec, jest latwy w konfiguracji, mozliwosc tunelowania przez jeden wybrany przez nas port TCP lub UDP, gdzie wybierajac np.TCP 443 nasza komunikacja nie bedzie do rozrozniana od HTTPS. Jesli uzyjemy TAP to inne protokoly niz IP mozna tunelowac np. IPX zy AppleTalk. itd, itd. Same superlatywy :)

Po przeszukaniu chyba całego internetu i testowaniu w prakrtce różnych rozwiązań typu PPPoE PPPtP IPsec udało mi się skonfigurować Openvpn'a tak że działa bez problemu z maskaradą, klient gdy połączy sie z serwerem Openvpn automatycznie jego cały ruch zaczyna iść poprzez polączenie vpn... odpowiednikiem ppp0 w openvpn jest tun0 itd.. Mogę przypisać każdemu klientowi jego własne IP i skojarzony znim klucz (2048 bit) można też tworzyć pare podsieci... Tak więc mam w sieci coś w stylu bardzo podobnego do PPPoE ale z jednoczesnym szyfrowaniem Ktoś niezarejestrowany w sieci gdy połączy się z moim nadajnikiem (nie ma wepa czy wpa) jest automatycznie przekierowywany na stronę, gdzie jest opisana dokładna procedura zapisywaniu sie do sieci i konfiguracji klienta VPN, ja wysyłam mu pliczek konfiguracyjny z kluczem i klient może się łaczyć do sieci

Odrazu piszę że niestety howto na stronie openvpn'a chyba ma błędy bo sam musiałem dochodzić do tego jak skierować cały ruch komputera klienckiego na brame vpn... jak coś to pytać

Normalnie jestem z siebie dumny Pozdr dla wszystkich

Cytat: Co do obsługi Vlan - doszły mnie sprzeczne inforamacje. Z tego co wyczytałem na forum, bez rekompilacji jądra VLANy nie będą obsługiwane.

Cytat: Co do sprawy VPN to znowu zabawa zaczyna się na gruncie współpracy z innymi vendorami sprzętu. Niby standard IPSec jest jeden, ale z doświadczenia wiem, jak trudno spiąć w działającą całość urządzenia różnych dostawców. Szczególnie wybredny jest CheckPoint w połączeniu z CISCO PIX i WatchGuard.

Cytat: QoS - patrząc pod kontem poniższego zastosowania, nie mam innego wyjścia. ruch krytyczny to ping, ssh, telnet, http, snmp. Możliwości htb w tym zakresie nie znam. Możliwe, że byłoby bardzo pomocne.

Cytat: Router z obsługą BGP (mam na myśli pełną tablicę światową i własny AS) potrzebuje minimum 1GB Ram na samą tablicę. Do tego dowolny system operacyjy routera, bufory interfejsów, cache itp i dochodzimy do minimalenej konfiguracji 2GB ram i procesor minimum 1GHz. Router o takich parametrach kosztuje fortunę (CISCO 3800 w takiej konfiguracji to koszt minimum 20000$). Idealne rozwiązanie to właśnie router/serwer którego kofiguracja będzie o wiele mocniejsza, a jednocześnie mniej kosztowna.

Cytat: Innymi słowy: jeżeli NND spełni swoją rolę przy powyższych założeniach to będzie to niesamowity sukces.

Cytat: I na koniec jedno pytanie: Rozumiem, że obsługa EIGRP jest wykluczona (cisco położyło łapę na specyfikacji) ale czy istnieje możliwość zestawienia GRE over IPSec ??

EIGRP jak juz napisales nie ma i nie bedzie dzieki patentowi przyznanemu cisco. Na temat gre/ipsec wypowiedzialem sie wyzej.

Witam

Pojawił się nowy firmware (3.2.2 Angielski) do Vigora serii 2930

Nowy firmware do pobrania z

Dodano:

1. Support Microsoft SSTP
2. Support AES for IKE Phase 1
3. Support DPD and NAT-T for IPSec aggressive mode
4. Auto dial in load balance to improve VPN bandwidth by dual WAN
5. Support Vista L2TP IPSec VPN
6. Support "voip dsp debounce" command for adjusting debounce timer
7. Support Email alert when ISDN line backup
8. New Wireless Advertisement function which can define first login page
9. Support web login /logout
10. Support WAN1/WAN2 only mode for DDNS
11. Support new DrayTek DDNS (used in China only) for DDNS
12. Support "Change default route" in WAN2 backup mode for VPN

Poprawiono:

1. Fix the problem that "WAN1 First" mode must reconnect when WAN1 recovers
2. "ISDN Network" IVR can be disabled in VoIP advance settings
3. Fix the problem about syslog can't send out via VPN tunnel
4. Allow to enable/disable bandwidth limit for 2nd subnet
5. Allow to enable/disable load balance policy auto failover to the other WAN

Pozdrawiam

Cytat: Nie mogę otworzyć twojego linku , ale zerknij na ten ( oczywiście pomiń Cisco VPN Clienta ):

Do Easy VPN możesz podłączyć routery ze statycznym i dynamicznym IP na zasadzie HUB and SPOKE.

p.s.
Osobiście preferuje DMVPN.

Dzięki,

był błąd w konfiguracji, nie zostały zapisane zmiany przed restartem.
Ale dziwne, że isakmp wygladalo ok.
Kanal ipsec sie nie zapial: od strony klienta do huba wygladalo ok (ale liczniki nie dzialaly) a od strony huba do klienta nie bylo wpisu.
Wydaje mi sie ze nie powinno byc wpisow dla tego klienta w isakmp (tzn poprawnych)
Konfiguracja "błędna" była taka:
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5 //srodowisko testowe//
!
crypto isakmp policy 500
encr aes 256
authentication pre-share
group 2

Teraz jest tak i tunele zestawiają się praktycznie natychmiast:
crypto isakmp policy 10 //policy dla S2S
encr aes 256
authentication pre-share
group 2
!
crypto isakmp policy 500 //policy dla easyvpn
encr aes 256
authentication pre-share
group 2

Dziwne, jeżeli konfiguracja klienta jest zgodna z konfiguracja serwera to powinno dzialac mimo innych polityk.

pozdrawiam
Jakub

PS:moje HW-clienty nie obsługują nhrp więc z dmvpn nici. Zreszta okazalo sie ze eigrp tez nie.

Cytat:
* Standardy: IEEE 802.11g, IEEE 802.11b, IEEE 802.3, IEEE 802.3u
* Transfer danych: 54Mbps, 48Mbps, 36Mbps, 24Mbps, 18Mbps, 12Mbps, 11Mbps, 9Mbps, 6Mbps, 5.5Mbps, 2Mbps, 1Mbps
* Bezpieczeństwo: 802.1x, 64-, 128-WEP, WPA (WEP with TKIP, MIC, IV Expansion, Shared Key Authentication)
* Modulacja: Orthogonal Frequency Division Multiplexing (OFDM)
* Wsparcie dla VPN: Pass-Through (PPTP, L2TP, IPSec)
* Zarządzanie: przeglądarka internetowa zgodna z IE lub inna z obsługą JAVA
* DHCP: Serwer i Klient
* Zaawansowane funkcje firewall'a: NAT z VPN Pass-through, filtrowanie MAC, filtrowanie IP, filtrowanie URL, blokowanie domen
* Zasięg pracy WiFi: wewnątrz - do 100 metrów, na zewnątrz - do 400 metrów
* Zakres częstotliwości: 2.4GHz - 2.462GHz
* Moc nadajnika: 15dBm ± 2dBm
* Antena: pojedyncza, zewnętrzna ze złączem R-SMA
* Temperatura pracy: 0°C - 55°C
* Wilgotność: max. 95%
* Sygnalizacja LED: Zasilanie, Status, WAN, LAN, WLAN
* Wymiary: L = 142mm, W = 109mm, H = 31mm
* Waga: 22g

W przypadku modemów ARRIS CM550 sprawdza się doskonale. Dobrze by było gdybyś napisał nazwę swojego providera oraz model modemu.

Cytat:
Trochę nie bardzo rozumiem dyskusję

Otóż - Cisco nie ściga użytkowników końcowych za łamanie licencji IOS (choć może to robić). Akademie Cisco w szczególności są tu również nieco w lepszej pozycji - mając dostęp 'do źródła' co jest w rozmaity sposób opisane w umowach.

Jest cała masa ludzi i firm (google.com wiecznym suflerem jest) które posługują się dynamipsem do prezentacji różnego rodzaju zastosowań Cisco IOS w warunkach labowych - i myślę, że nikt nie będzie Ci miał tego za złe (choć oczywiście w żaden sposób nie mogę zakładać, że jest to oficjalne stanowisko firmy Cisco). Trzeba sobie tylko zdawać sprawę z ograniczeń - i jest to naprawdę świetne narzędzie. Na jednym PC, w zasadzie chyba niezależnie od ilości procesorów i pamięci, trudno wyjść powyżej 16-18 routerów. Dodatkowo jeśli są dokonfigurowane - nawet taka ilość zaczyna być problemem w interaktywnej pracy. Nie działa lub działa nieco z poślizgiem parę rzeczy ściśle powiązanych z schedulerem (QoS, BFD, etc.). Ale ZBFW? IPsec? GRE? EIGRP? BGP? SDM? GET VPN? IOS CLI? Oczywiście.

Prowadząc zajęcia do CCNP na Akademii posługiwałem się masą różnych narzędzi żeby pokazać pewne zjawiska - i zgadzam się, że przy braku małej grupki dwóch setek routerów trudno pokazać wpływ porządku w adresacji IP na konwergencję. Ale to temat na zupełnie inną dyskusję

Chyba jestem zbyt dużym formalistą . Bardzo dziękuję za wyczerpującą odpowiedź.

Witam

Pojawił się nowy firmware (3.2.2 Angielski) do Vigora serii 2910

Nowy firmware do pobrania z

A to co poprawiono i dodano:

1. Support Option Icon new driver, including Option 225 and HSUPA modem 3G application
2. Support Bandluxe C120, ZTE MF626/636, Sierra 881/885/888, Sony Ericsson MD300,, XS Stick W12, and D-Link DWM-652 modem for 3G application
3. Support QoS function for 3G application
4. Support New Wireless Advertisement function which can define first login page
5. Support "voip dsp debounce" command for adjusting debounce timer
6. Support DPD and NAT-T for IPSec aggressive mode
7. Support WAN1/WAN2 only mode for DDNS
8. Support new DrayTek DDNS (used in China only) for DDNS
9. Add new command "sys autoreboot" for auto reboot
10. Support "Change default route" in WAN2 backup mode for VPN
11. Improve the stability of USB Disk FTP server
12. Fix the problem that "WAN1 First" mode must reconnect when WAN1 recovers
13. Extend RTP packet size to 180ms to improve voice quality
14. Fix the problem about syslog can't send out via VPN tunnel
15. Allow to enable/disable bandwidth limit for 2nd subnet

Pozdrawiam

Klikam sobie dziś na NetPro zobaczyć czy forum jeszcze żyje czy już dogorywa , a tu link:

Specjalnie dla Was wybieramy, a następnie tłumaczymy najciekawsze angielskojęzyczne dokumenty o produktach i technologiach Cisco. Kliknij na poniższy link, aby przejść do działu z Dokumentacją.Dokumentacja Cisco po Polsku

Routery

* Second-Generation 1- and 2-Port T1/E1 Multiflex Trunk Voice/WAN Interface Cards

Bezpieczeństwo

* Rozwiazania najczęstszych problemów z komunikacja LAN-LAN i dostępem zdalnym w sieciach VPN opartych na protokole IPSec
* Konfigurowanie list dostępu IP
* Klient sieci VPN firmy Cisco - Najczęsciej zadawane pytania

Switche

* Najlepsze praktyki dla przełaczników Catalyst serii 6500/6000 i Catalyst serii 4500/4000 działajacych pod kontrola systemu Cisco IOS Software

Głos

* Przykład konfiguracji Cisco CallManager Express/Cisco Unity Express
* Użycie pasma na jedno połaczenie

Technologia bezprzewodowa

* Przykład podstawowej konfiguracji bezprzewodowej sieci LAN
* Punkt dostępowy Cisco Aironet - Najczęsciej zadawane pytania
* Procedura odzyskiwania hasła w urzadzeniach Cisco Aironet

Co wy na to , bo ja jakoś wolę oryginał

p.s.
ale haczyk jest : Dokumentacja Polska - Wymagane logowanie Klient/Partner

Cytat:U nas to rozwiazalismy zupelnie inaczej. W firmie pracujemy na kyocerach fs1030dn - czyli sieciowych.

No cóż, nie każdy ma tak dobrze by mógł wszędzie postawić to co chce - czyli drukarkę sieciową. Tym bardziej że oddziały to z reguły jest jeden, czasem dwa komputery i VPN zestawiany jest klientem IPSec (Cisco VPN Client) a nie na drodze sprzętowej (aczkolwiek w kilku miejscach mam plan postawić ASA 5505 albo router Cisco serii 800 i zrobić to sprzętowo).

Cytat:Po pierwsze nie ma problemu z tysiacem drukarek widocznych na serwerze, po drugie nie wystepuja problemy z ustawieniem drukarki domyslnej. Trzyma to to windows na uzytkownika. Drukarke domyslna z tego co widzialem w cdn da sie ustawic dla danego wydruku - ale to sie niestety sprawdza w pracy jednostanowiskowej chyba tylko.

Dziwi mnie to że użytkownicy lokalni w centrali zauważają w XL (i tylko w XL bo lokalnie Windows tej drukarki nie widzi) drukarkę podpiętą w Lublinie. To znaczy że taką informację na ich stanowisko musi przenosić sam XL z pominięciem systemu operacyjnego. Bo tej drukarki z Lublina użytkownicy na swoich komputerach nie widzą. I z serwera terminali też nie korzystają. Po prostu cuda.

Kyniu

Czy jest jakaś metoda na połączenie się Ciskaczowym IPSeciem przez już istniejący tunel, zestawiony przez OpenVPN? System to XP Pro, nie ma możliwości zmiany konfiguracji klienta Cisco VPN (sieć firmowa). Obecnie przełączyłem klienta na "czysty lan" bez OpenVPN, ale wolałbym takiej sytuacji uniknąć.

Witam!

Mam taki problem - skonfigurowałem serwer monitorujący stan sieci u mnie w pracy. Wszystko działa OK łącznie z powiadomieniami ale mam problem z jednym z naszych oddziałów gdzie nie ma VPN. Wygląda to mniej więcej tak:

Brama-------->INTERNET----->ROUTER------->terminal,Access Point
10.0.0.2===============(IP zewn.====(10.6.0.6)(10.6.0.8)
(Nagios================89.xx.xx,
0.30)=================IPsec, firewall)

Problem polega na tym ze Nagios nie otrzymuje żadnego znaku życia od hostow które znajdują się za routerem (czyli od żadnego AP-ka, terminala itp) mimo ze skonfigurowałem hosty zgodnie z zasadami. Oto wpisy z plików cfg:

define host {

host_name router_warszawa
alias Router_Ilmet
address 89.xx.xx.xx.xx
parents router_centrala // name of gateway 10.0.0.2
hostgroups routery
check_command check-host-alive
max_check_attempts 10
check_interval 20
check_period 24x7
contact_groups admins
notification_interval 30
notification_period 24x7
notification_options d,r,u,f
notifications_enabled 0
}

define host {

host_name terminal_warszawa
alias Terminal-Ilmet
address 10.6.0.6
parents router_warszawa // name of router with IP 89.xx.xx
hostgroups Serwerownia
check_command check-host-alive
max_check_attempts 10
check_interval 20
check_period 24x7
contact_groups admins
notification_interval 30
notification_period 24x7
notification_options d,r,u,f
notifications_enabled 0
}

define host {

host_name AP2_warszawa
alias AP2-Ilmet
display_name AP2-Ilmet
address 10.6.0.233 // name of Access Point
parents router_warszawa
hostgroups punkty_dostepu
check_command check-host-alive
max_check_attempts 10
check_interval 20
check_period 24x7
contact_groups admins
notification_interval 30
notification_period 24x7
notification_options d,r,u,f
notifications_enabled 0
}

Czy ktoś byłby w stanie mi pomóc jak pomóc Nagiosowi "dotrzeć" do tych hostow? Router który stoi w tej jednostce do Linksys BEFSX41.

Pozdrawiam!

Cytat: Generalnie problem pojawił się gdy chciałem stworzyć dla studentów fajne laboratoria sieciowe. Grupy laboratoryjne miały od 10 osób i więcej. Przyjmując że student ma sam zrobić jakiekolwiek zajęcia np. z routingu dynamicznego potrzebuje conajmniej 3 routerów co daje ilość 30 routerów. Nie chciałem żeby zajęcia wyglądały tak że 3 studentów pracuje na jednym urządzeniu. I stąd pojawił się pomysł żeby kupić duży serwer, zainstalować dynamipsa i wgrać IOS - oczywiście legalnie. Pytałem jak w takim przypadku by wyglądało licencjonowanie IOS na takie środowisko, czy uczelnia jest w stanie udźwignąć taki koszt. Ponieważ dynamips nie był jeszcze tak szeroko znany jak teraz, to ciężko było w stanie odpowiedzieć nt licencjonowania. Na tą chwilę udało mi się problem rozwiązać bo me władze do akademii cisco kupiły 9x2801 i 6x2960 co na potrzeby laboratorium jest już całkiem całkiem.

Trochę nie bardzo rozumiem dyskusję

Otóż - Cisco nie ściga użytkowników końcowych za łamanie licencji IOS (choć może to robić). Akademie Cisco w szczególności są tu również nieco w lepszej pozycji - mając dostęp 'do źródła' co jest w rozmaity sposób opisane w umowach.

Jest cała masa ludzi i firm (google.com wiecznym suflerem jest) które posługują się dynamipsem do prezentacji różnego rodzaju zastosowań Cisco IOS w warunkach labowych - i myślę, że nikt nie będzie Ci miał tego za złe (choć oczywiście w żaden sposób nie mogę zakładać, że jest to oficjalne stanowisko firmy Cisco). Trzeba sobie tylko zdawać sprawę z ograniczeń - i jest to naprawdę świetne narzędzie. Na jednym PC, w zasadzie chyba niezależnie od ilości procesorów i pamięci, trudno wyjść powyżej 16-18 routerów. Dodatkowo jeśli są dokonfigurowane - nawet taka ilość zaczyna być problemem w interaktywnej pracy. Nie działa lub działa nieco z poślizgiem parę rzeczy ściśle powiązanych z schedulerem (QoS, BFD, etc.). Ale ZBFW? IPsec? GRE? EIGRP? BGP? SDM? GET VPN? IOS CLI? Oczywiście.

Prowadząc zajęcia do CCNP na Akademii posługiwałem się masą różnych narzędzi żeby pokazać pewne zjawiska - i zgadzam się, że przy braku małej grupki dwóch setek routerów trudno pokazać wpływ porządku w adresacji IP na konwergencję. Ale to temat na zupełnie inną dyskusję

Cytat:
dev tun : rodzaj interfesu dla routera zawsze tun
client : tryb klienta
remote "ip_wan_neo+" : adres zdalnego serwera
proto udp : tunel bedzie dzialal na porcie UDP (a moglby na TCP)
port 17003 : uzywany port
nobind : nie otwieraj portu po stronie klienta
;user Administrator : zrzuc uprawnienia na wskazanego uzytkownika, nie dziala w win32
;group Administratorzy : jw. dla grupy, nie dziala w win32
ca cacert.pem : plik certyfikatu CA
cert user1_publickey.pem : plik z certyfikatem uzytkownika user1
key user1_privkey.pem : plik z kluczem prywatnym uzytkownika user1
comp-lzo : algorytm kompresji
verb 3 : poziom komunikatow

Cytat:
dev tun : rodzaj interfesu dla routera zawsze tun
local 192.168.1.10 : adres, na ktorym bedzie dzialal VPN
proto udp : tunel bedzie dzialal na porcie UDP (a moglby na TCP, czasem tak lepiej jak blokuje np. Hotel)
port 17003 : uzywany port
;user Administrator : zrzuc uprawnienia na wskazanego uzytkownika
;group Administratorzy : jw. dla grupy
ca cacert.pem : plik certyfikatu CA
cert servercert.pem : certyfikat serwera
key serverkey.pem_bezhasla : plik z kluczem prywatnym serwera
dh dh1024.pem : plik z parametrami protokolu Diffiego-Hofmana (dwie liczby pierwsze 1024 bit)
server 10.8.0.0 255.255.255.0 : klasa adresowa z ktorej przydzielane beda adresy IP klientom
ifconfig-pool-persist ipp.txt : zawiera informacje o przydzielonych adresach IP
client-config-dir ccd : katalog z plikami specyficznych ustawien uzytkownikow
keepalive 10 120 :
comp-lzo : algorytm kompresji

No i mam taki komunikat (przy próbie połączenia klienta z serwerem o nr IP "ip_wan_neo+"):

Options error: port number associated with host "ip_wan_neo+" is out of range
Use --help for more information.

Nadmieniam że w XP Prof SP2 odblokowałem wartością 2 IPSec w rejestrach.

Witam,

mam być może beznadziejne pytanie, ale czy mimo wszystko zadam je na forum: czy/jak ustawić szyfrowanie dla połączenia VPN?
Mam VPNa programego na W2k3, a klient łączy się serverem po l2tp/ipsec. Czy teraz mogę ustawić szyfrowanie i rodzaj? Jak to i gdzie ustawić?

Dzięki i pozdrawiam

Radek

Ostatnio natknęłem sie na pare dokomentów opisujących IAS, później przeczytałem:

I mam do Was następujące pytanie - czy interesowaliście się kiedykolwiek tym rozwiązaniem ? Mnie zastanawia np. opisany w powyższym dokumencie sposób rejestrowania usług u operatora WLAN, rozumiem że taki AP pod IAS'em nie posiada zabezpieczeń typu WEP czy WPA bo wtedy użytkownik nie zarejstrowany nie mógł by przeprowadzić rejestracji u isp poprzez takiego AP...

Zastanawia mnie jeszcze jedno czy IAS posiada jakieś mechanizmy szyfrowania danych w sieci ? Nie dokońca jestem pewien czy poprawnie rozumiem działanie tego protokołu a czytam o różnych rozwiązaniach mających na celu zabezpieczenie sieci wlan poza WEP WPA i WPA2, głównie interesuje się czymś w stylu VPN.

PPPoE udało mi się uruchomić ale niestety bez możliwości szyfrowania mppe, a takie rozwiązanie mnie nie satysfakcjonuje, próbowałem też pptp - tu działało ładnie z szyfrowaniem, ale nie udało sie ustawić maskarady (szły nawet pingi do internetu, stronu zaczynały sie ładować ale po pary przesłanych pakietach transmisja ustawała, lokalnie wszystko było ok..), jako alternatywe tych dwóch rozwiązań próbowałem wykorzystać Openvpn, ale niestety nie poradziłem sobie z tym aby cały ruch szedł poprzez interfejs TAP w windowsie, nie ma opcji domyslnego połączenie a nic w tym stylu, ostatecznie komputery łączą się z internetem poprzez IPsec (openswan) który działa bardzo stabilnie, i bardzo ładnie można zestawić z nim połączenie w windowsie, rozwiązanie ma to pewną wade ponieważ na IPsecu nie zrobie maskarady czy natu i wszystko idzie przez Squida (http, skype, gg, radio internetowe). Nikt nie narzeka w sieci, bo wszyscy w niej korzystaja z podstawowych uslyg typu właśnie http, czy gg... Ja jednak ciągle czuje niedosyt - nie udaje mi się skutecznie wprowdzić rozwiązania które pozwoli szyfrować cały ruch w sieci i jednocześnie będzie dawało się łączyć przez maskarade....

Z góry dziękuje za wszelkie odpowiedzi i sugestie

Witam,

Zakładam nowy wątek modyfikując go troszkę....
Potrzebuję zestawić połączenie vpn l2tp IPSec z jednej podsieci (od klienta WinXP) poprzez router na slackware do drugiej podsieci (win2003).

Czy ktoś może przekierował takie połączenie od klienta do serwera w Lanie?? Może ma ktoś jakieś informacje na temat VPN Passthrough?? Routery sprzętowe mają tą funkcję jak można zestawić takie przekierownie w Linuxie??

Dzięki za pomoc

Witam,

Potrzebuję zestawić połączenie vpn l2tp IPSec z jednej podsieci (od klienta WinXP) poprzez router na slackware do drugiej podsieci (win2003).
Może ktoś już zmierzył się z tym tematem?
Na forum niestety nie ma za wiele w tym temacie, a i google też nie wiele wnosi.
Nie zadziała niestety tu zwykłe przekierowanie portu 1701, gdyż pakiety te nie mogą być modyfikowane.
Może ma ktoś jakiś pomysł??

Cytat: Jesli sie skupimy na połączeniu VPN to jest tam opcja dołącz domene logowania do windows, tylko jak to wygladało by w praktyce. Na Mt jest uruchomiony serwer VPN (czy jest taka możliwość?)

Tak. MT posiada koncentrator PPTP a to powinno Ci sie przydac bo Windows od wersji 95 obsluguje VPNa na bazie PPTP. IPSec tez jest jak cos ;)

Witam,
W sieci mam serwerek na slackware 10.2 i chciałbympostawić VPN, z klientem z zewnątrz klient XP. I tu moja prośba (widziałem w propozycjach FAQ opis, ale nie jest on do końca dla mnie uzyteczny ...) Czy moze ktoś zamieścić jakiś opis VPN może być oparty na openVPN lub IPsec obojętnie .... Napewno ktoś to z forumowiczów już wcześniej robił:)
Pozdrawiam

Witam

Odpowiedzi:

1. Nie zainstalowalo sie w /usr/local/etc.

2. Sciagnalem pakiet ipsec ze strony dozzie-go, rozpakowalem i uzyskalem katalogi usr, install, var, etc ale nie wiem teraz w ktorym miejscu wywolac polecenie "./configure" zeby skompilowac ?

3. Poniewaz dostalem takie polecenie od szefa zeby tym pakietem sprobowac utworzyc VPN

Dziekuje za odpowiedzi i zycze milego dnia

softowo - czyli bez korzystania z zabawek z kernela (ipsec itp).
niekernelowe - openswan umozliwia na korzystanie stosu ipsec wlasnego a nie tego kernelowego.
vpn - z zalozenia point to point.

Witam!

Temat dość stary, ale jako, że nikt nie udzielił odpowiedzi to ja podpowiem.
Aby postawić sobie VPN potrzebujesz:
1) VPS / serwer dedykowany
2) OpenVPN/ ipSEC/ pptpd
Jako, że ma być to budżetowe rozwiązanie polecam raczej VPS.
Tanio Polskiego VPS dostaniemy np.
Tworzymy tunelik VPN którymś z w/w oprogramowania - oczywiście jak to zrobić podpowie nam google :-))

Witam!

Chcialbym, aby z sieci obslugiwanej przez skrypty Baroo moznabylo laczyc sie z VPN... Czy ktos wie jak przystosowac taki router do obslugi IPsec ? Ktos moze pomoc ? Za sugestie bede wdzieczny.

Pozdrawiam,
Lukasz

Mam taki problem. Kombinuje z połączeniem do VPN przez L2TP/IPsec i nigdy wcześniej tego nie robiłem. Znalazłem kilka tutorial-i ale nic z tego mi nie pomogło . Wie ktoś jaki soft trzeba zainstalować i jak to skonfigurować? albo proszę o namiary na jakiś dobry tutorial, bo zjadłem już na tym zęby.

Następny się znalazł. VPN to zbyt szerokie pojęcie. Wytłumacz mi jakie protokoły chcesz mieć przeforwardowane i mają one być forwardowane czy zatrzymywać się na routerze, bo z tego co napisałeś to niewiele da się wywnioskować. Czy ma to być typowy ipsec (udp:500, ah, esp), czy coś innego (np. udp:1732, gre)?

Witam!

Chcialbym, aby z sieci obslugiwanej przez skrypty Baroo moznabylo laczyc sie z VPN... Czy ktos wie jak przystosowac taki router do obslugi IPsec ? Ktos moze pomoc ? Za sugestie bede wdzieczny.

Pozdrawiam,
Lukasz

Cytat: Wep jest do złamania (tylko kwestia czasu i sprzętu) ale radius to moze być rozwiązanie. Czy można więcej szczegółów, bo nie pamiętam postów na forum o tym temacie. Niektórzy administratorzy proponują PPPoe albo Ipsec. Ale ja nie dotarłem do polskich opisów, jak to zastosować na linuxie.

kanały VPN - już niedługo na WIKI ...

Kiedyś jak miałem freesco to sąsiad używał dwóch różnych protokołów do łączenia sie po vpn w różne miejsca. Starszym PPTP i nowszym IPSEC. Musisz sie dowiedzieć czy kernel w twoim freesco ma wkompilowaną obsługe tego odpowiedniego protokołu. Kilka lat temu Radar skompilował mi kernelik obsługujący oba. Mam jednak obawy że może on być już za stary (kernel oczywiście) Poszukaj na google stronek Dingetje on sie zajmuje vpn i ma całkiem sporą kolecje kerneli.

Mnie nie interesuje funkcjonalność
IPSec pass-trough
L2TP pass-trough
PPTP pass-trough
a router na którym można skonfigurować połączenie VPN między routerem a zdalnym komputerem.
A NoIP/DynDNS ma związek o tyle, że jeżeli przy neostradzie zmieni się ip routera to skąd mogę znać jego ip żeby się połączyć. Zostaje więc połączenie po nazwie.

Witam

Mam Pytanie dotyczące VPN.
Dostałem takie zapytanie czy bedzie mozliwe połączenie komputerów
VPN transparent tunelling (VPN pass-thru) over IPSec. Połączenie z siacią pewnego przedsiębiorstwa z wykorzystaniem szyfrowania IPSec z enkapsulacją w TCP/1000.

Chodzi czy nnd nie plokuje takich połączeń wchodzących i wychodzacych i czy musze cos konfigurować w nnd.

Nnd z firewallem czerwo

Nowa wersja softu 3.3.2 BETA RC1

Co nowego:

New Features
􀁺 Support VPN IKE AES128/AES192/AES256 and MODP Group 14.
􀁺 Support windows vista L2TP IPSec.
􀁺 Support CSM (Content Security Management) and allow users to configure IM/P2P Filter
Profile, URL Content Filter Profile and Web Content Filter Profile
􀁺 Support new functions of Firewall such as specifying IM/P2P Filter profile, URL Content
Filter profile and Web Content Filter profile for filtering

Improvement
􀁺 Change the Wi-Fi SSID from "default" to "DrayTek".
􀁺 Improve system stability by adjusting the stack size.
􀁺 Improve the connection stability of 3G network
􀁺 Restore Specify Remote Node in VPN and Remote Access>>Remote Dial-In User
page
􀁺 Corrected: VoIP call log cannot be displayed correctly by using telnet command.
- 2 -
􀁺 Corrected: Caller ID cannot be displayed on the phone which is using DTMF mode to
display it.
􀁺 Corrected: Caller ID cannot be displayed normally for internal call.
􀁺 Corrected: Potential reboot will be happened due to the buffer size.
􀁺 Corrected: VoIP buffer leakage problem.
􀁺 Corrected: PPTP interface cannot work normally.
􀁺 Corrected: Modify IM/P2P signature for FeiDian Player.
􀁺 Corrected: Port redirection cannot work while using WAN IP alias.
􀁺 Corrected: Phone setting always uses the first SIP account as the default dial-out account
􀁺 Corrected: WAN IP cannot be reverted to factory default if True IP in NAT>>DMZ Host
Setup is not enabled.
􀁺 Corrected: Web configuration is not compatible with Firefox 3 version.
􀁺 Corrected: The router will reboot due to VPN connection with fragmented packets.

Known Issue
􀁺 Vigor2820 series does not support VoIP T.38 fax relay function yet.

Na stronie FTP DrayTek Polska dostepna wersja 3.3.0 dla Annex A i B wersja ENG.

link:

Witam wszystkich

Czy może mi ktoś podać link jak skonfigurować Openswan oczywiście na Debianie. A jeśli nie link to może ktoś zna książkę do której można się odwołać choć wiem że temat VPN i IPSec jest jakoś ignorowana w literaturze powszechnej. Wynika to chyba z faktu, że niewiele osób się na tym tak naprawdę zna. Mimo to proszę o jakieś informacje. Zaznaczę, że nie jestem jakimś wymiataczem więc fajnie by było aby opis był w miarę zrozumiały.

Wielkie dzięki

powinieneś wiedzieć, że istnieją dwa główne protokoły - IPSec i PPTP, niestety dostępny manager vpn na symbiana obsługuje tylko IPSec, a żeby było zabawnie większość sieci VPN używa głównie tego drugiego protokołu..

widzę że jesteś z krakowa, więc jeśli na przykład chciałbyś się łączyć z siecią AGH to niestety masz marne szanse powodzenia, bo ona korzysta z PPTP

Witam,
Mam połaczenie tunelowe Vigor2820 -> Vigor2910 prze IPSec, zestawione według przykładu. Problemem jest bardzo krótki czas połączenia, z tego co udalo mi sie zauwazyc nie przekroczyl on nawet 30minut, czasami nawet na nowo jest ustawiany automatycznie po paru minutach czy nawet sekundach. Podejrzewam, ze to moze byc powodem moich innych problemów z VPN, wiec prosze o pomoc. Czy to jest norma? Jak nie, to jaka moze byc tego przyczyna?

Cytat:
dev tun : rodzaj interfesu dla routera zawsze tun
client : tryb klienta
remote "ip_wan_neo+" : adres zdalnego serwera
proto udp : tunel bedzie dzialal na porcie UDP (a moglby na TCP)
port 17003 : uzywany port
nobind : nie otwieraj portu po stronie klienta
;user Administrator : zrzuc uprawnienia na wskazanego uzytkownika, nie dziala w win32
;group Administratorzy : jw. dla grupy, nie dziala w win32
ca cacert.pem : plik certyfikatu CA
cert user1_publickey.pem : plik z certyfikatem uzytkownika user1
key user1_privkey.pem : plik z kluczem prywatnym uzytkownika user1
comp-lzo : algorytm kompresji
verb 3 : poziom komunikatow

Cytat:
dev tun : rodzaj interfesu dla routera zawsze tun
local 192.168.1.10 : adres, na ktorym bedzie dzialal VPN
proto udp : tunel bedzie dzialal na porcie UDP (a moglby na TCP, czasem tak lepiej jak blokuje np. Hotel)
port 17003 : uzywany port
;user Administrator : zrzuc uprawnienia na wskazanego uzytkownika
;group Administratorzy : jw. dla grupy
ca cacert.pem : plik certyfikatu CA
cert servercert.pem : certyfikat serwera
key serverkey.pem_bezhasla : plik z kluczem prywatnym serwera
dh dh1024.pem : plik z parametrami protokolu Diffiego-Hofmana (dwie liczby pierwsze 1024 bit)
server 10.8.0.0 255.255.255.0 : klasa adresowa z ktorej przydzielane beda adresy IP klientom
ifconfig-pool-persist ipp.txt : zawiera informacje o przydzielonych adresach IP
client-config-dir ccd : katalog z plikami specyficznych ustawien uzytkownikow
keepalive 10 120 :
comp-lzo : algorytm kompresji

No i mam taki komunikat (przy próbie połączenia klienta z serwerem o nr IP "ip_wan_neo+"):

Options error: port number associated with host "ip_wan_neo+" is out of range
Use --help for more information.

O co tu biega ??

Nadmieniam że w XP Prof SP2 odblokowałem wartością 2 IPSec w rejestrach (oops, teraz juz nie bo jest przeinstalowany system, ale jak trzeba to wiem jak to zrobić).

Cytat: powinieneś wiedzieć, że istnieją dwa główne protokoły - IPSec i PPTP, niestety dostępny manager vpn na symbiana obsługuje tylko IPSec, a żeby było zabawnie większość sieci VPN używa głównie tego drugiego protokołu..

w takim razie jak skonfigurować na telefonie połączenie via IPsec?

Witam

Pojawił się nowy firmware (3.3.0 Polski) do Vigora serii 2820

Nowy firmware do pobrania z

A to co poprawiono i dodano:

1. For Annex A Model,

v2820_v0330_211011_A is used for modem code 211011(Standard).
v2820_v0330_211801_A is used for modem code 211801.
v2820_v0330_2121501_A is used for modem code 2121501.
v2820_v0330_2211201_A is used for modem code 2211201.

2. For Annex B Model,

v2820_v0330_2111112_B is used for modem code 2111112. (Standard)
v2820_v0330_214702_B is used for modem code 214702.
v2820_v0330_215202_B is used for modem code 215202.
v2820_v0330_2121302_B is used for modem code 2121302.
v2820_v0330_2111312_B is used for modem code 2111312.
v2820_v0330_2111302_B is used for modem code 2111302.

3. Support VPN IKE AES128/AES192/AES256 and MODP Group 14.
4. Support windows vista L2TP IPSec.
5. Support CSM (Content Security Management) and allow users to configure IM/P2P Filter Profile, URL Content Filter Profile and Web Content Filter Profile
6. Support new functions of Firewall such as specifying IM/P2P Filter profile, URL Content Filter profile and Web Content Filter profile for filtering
7. Change the Wi-Fi SSID from default to DrayTek.
8. Improve system stability by adjusting the stack size.
9. Improve the connection stability of 3G network
10. Restore Specify Remote Node in VPN and Remote Access>>Remote Dial-In User page
11. Corrected: VoIP call log cannot be displayed correctly by using telnet command.
12. Corrected: Caller ID cannot be displayed on the phone which is using DTMF mode to display it.
13. Corrected: Caller ID cannot be displayed normally for internal call.
14. Corrected: Potential reboot will be happened due to the buffer size.
15. Corrected: VoIP buffer leakage problem.
16. Corrected: PPTP interface cannot work normally.
17. Corrected: Modify IM/P2P signature for FeiDian Player.
18. Corrected: Port redirection cannot work while using WAN IP alias.
19. Corrected: Phone setting always uses the first SIP account as the default dial-out account
20. Corrected: WAN IP cannot be reverted to factory default if True IP in NAT>>DMZ Host Setup is not enabled.
21. Corrected: Web configuration is not compatible with Firefox 3 version.
22. Corrected: The router will reboot due to VPN connection with fragmented packets.
23. Vigor2820 series does not support VoIP T.38 fax relay function yet.

Pozdrawiam

Witam. W mojej firmie zaistniała niedawno konieczność wprowadzenia jakiegoś rozwiązania VPN. Czy ktoś dysponuje wyczerpującym przewodnikiem/howto? Czytałem na ten temat i doszedłem do wniosku, że IPSEC powinien być odpowiedni, jednakże, o ile dobrze zrozumiałem, nie wspiera on NATa. U mnie NAT naturalnie jest. Jak mógłbym obejść ten problem? Czy ktoś z Was zna jakieś interesujące rozwiązanie nieoparte na IPSEC i mógłby je polecić?

Witam

Pojawił się nowy firmware (3.3.0 Angielski) do Vigora serii 2820

Nowy firmware do pobrania z

A to co poprawiono i dodano:

1. For Annex A Model,

v2820_v0330_211011_A is used for modem code 211011(Standard).
v2820_v0330_211801_A is used for modem code 211801.
v2820_v0330_2121501_A is used for modem code 2121501.
v2820_v0330_2211201_A is used for modem code 2211201.

2. For Annex B Model,

v2820_v0330_2111112_B is used for modem code 2111112. (Standard)
v2820_v0330_214702_B is used for modem code 214702.
v2820_v0330_215202_B is used for modem code 215202.
v2820_v0330_2121302_B is used for modem code 2121302.
v2820_v0330_2111312_B is used for modem code 2111312.
v2820_v0330_2111302_B is used for modem code 2111302.

3. Support VPN IKE AES128/AES192/AES256 and MODP Group 14.
4. Support windows vista L2TP IPSec.
5. Support CSM (Content Security Management) and allow users to configure IM/P2P Filter Profile, URL Content Filter Profile and Web Content Filter Profile
6. Support new functions of Firewall such as specifying IM/P2P Filter profile, URL Content Filter profile and Web Content Filter profile for filtering
7. Change the Wi-Fi SSID from default to DrayTek.
8. Improve system stability by adjusting the stack size.
9. Improve the connection stability of 3G network
10. Restore Specify Remote Node in VPN and Remote Access>>Remote Dial-In User page
11. Corrected: VoIP call log cannot be displayed correctly by using telnet command.
12. Corrected: Caller ID cannot be displayed on the phone which is using DTMF mode to display it.
13. Corrected: Caller ID cannot be displayed normally for internal call.
14. Corrected: Potential reboot will be happened due to the buffer size.
15. Corrected: VoIP buffer leakage problem.
16. Corrected: PPTP interface cannot work normally.
17. Corrected: Modify IM/P2P signature for FeiDian Player.
18. Corrected: Port redirection cannot work while using WAN IP alias.
19. Corrected: Phone setting always uses the first SIP account as the default dial-out account
20. Corrected: WAN IP cannot be reverted to factory default if True IP in NAT>>DMZ Host Setup is not enabled.
21. Corrected: Web configuration is not compatible with Firefox 3 version.
22. Corrected: The router will reboot due to VPN connection with fragmented packets.
23. Vigor2820 series does not support VoIP T.38 fax relay function yet.

Pozdrawiam

Cytat:
What's new in 3.17:

*) added support for Intel 10Gb PCI Express driver;
*) made Huawei E220 USB modem work again;
*) added support for Novatel Wireless Ovation MC950D HSUPA;
*) fixed PCQ fairness when pcq-total-limit is reached;
*) fixed fetch tool to work when dst-path is not specified (broken in 3.16);
*) fetch tool - added keep-result command line argument;
*) allow to specify routing-table for ping, trace-route, and telnet;
*) fixed an IPsec bug;
*) fixed /ip firewall address-list;
*) added propagate-ttl option for MPLS;
*) fix very long wireless scan-list issues;
*) fixed problem - sometimes PCQ could stop data pass-through if pcq-rate was set;
*) fixed problem - L2TP could stop working when one of clients stopped responding
   at wrong time;
*) fixed problem - reduced size of supout.rif files;
*) graphing - support for 10 Gbit interfaces;
*) routing-test - added support for multi-instance OSPF;
*) user manager - fixed bug for PayPal payments with long parameter list;
*) user manager - database load command supports external storage
    for temporary files;
*) user manager - added support for all UTC time-zone offsets,
    including +5:30, +5:45, etc.;
*) allow queues to have all traffic, not only ip (for example vpn)
*) improved ipv6 sniffing
*) improve torch and sniffer behavior under high load
*) improved queue statistics

Known issues:

*) on some SMP x86 boxes clocks are not right, time runs very fast on them, as a result
   queues & wireless-test nstreme does not work;

Cytat:
What's new in 4.0beta1:

*) added support for MetaROUTERs;
*) all test packages are regular ones;
*) console - can mix named and unnamed arguments, can use names for unnamed
     argument values. For example all of the following commands are
     accepted now:
       /ping 10.11.12.13 count=4
       /ping address=10.11.12.13 count=4
       /ping count=4 10.11.12.13

poki co w wersji 4.x zaro mega zman ;)