Konfiguracja IPSec tryb transportowy i tunelowy - Sieci telekomunikacyjne
Farnell, An Avnet Company   Przedstawicielstwo Handlowe Paweł Rutkowski   Phoenix Contact Sp. z o.o.  

Energetyka, Automatyka przemysłowa, Elektrotechnika

Dodaj firmę Ogłoszenia Poleć znajomemu Dodaj artykuł Newsletter RSS
strona główna GRUPY Sieci telekomunikacyjne Konfiguracja IPSec tryb transportowy i tunelowy
REKLAMA
REKLAMA

Konfiguracja IPSec tryb transportowy i tunelowy

Brak awataru
Brak użytkownika

Witam

Na potrzeby naukowe chciałem wykonać badania: wpływy szyfrowania IPSec na wydajność przesyłania danych.

Muszę wykorzystać tryb transportowy oraz tunelowy.

Wiem jak skonfigurować tryb transportowy dla AH, ESP, AH+ESP.

Przynajmniej tak mi się wydaje;), w advanced firewall zestawiam połączenie serwer-serwer i w zaawansoiwanych ustawieniach zapory konfiguruję odpowiedni podprotokół.

Niestety nie jestem pewny co do trybu tunelowego i konfiguracji. Czy to jest opcja tunel przy tworzeniu nowego połączenia??

Za pomoc z góry dzięki.

 

Dodam, że robię w środowisku wirtualnym na Serwer 2008

cytuj pomógł zgłoś nadużycie
Awatar użytkownika
Artur Kulikowski

Jeśli dobrze rozumiem to masz okno podobne do tego z rys 19 we wpisie:

http://www.elektroonline.pl/a/2270/2,Konfiguracja_protokolu_IPSec_w_systemie_Windows_Vista

Teraz wrzucę mały schemat sieci z mojego wcześniejszego wpisu :

Rys. 1.  Schemat  eksperymentalnej sieci opartej na protokole IPv6.

Powiedz mi, w którym miejscy masz komputery z windows serwer:

czy używasz ich jako stacji roboczych (Host1 i Host 2)? - Wtedy ustawiając na nich zabezpieczenia masz tryb transportowy ponieważ w obrębie sieci do których hosty należą nikt nie podsłucha waszej komunikacji, widoczne jest tylko kto z kim "gada" ale nie widać "o czym".

W wyżej opisanym przypadku w oknie które ja widziałem zaznacza się opcję "od serwera do serwera" i zabezpieczasz ruch na całej drodze.

Jeśli natomiast wykorzystujesz komputery jako serwery  w miejscach routerów w tym schemacie zabezpieczając całkowity ruch z sieci1 do sieci 2 - wtedy ktoś z zewnątrz widzi że "gadają" ze sobą 2 serwery, ale nie widzą który komputer z którym i wtedy masz tryb tunelowy. Wewnątrz każdej sieci komunikacja jest jawna zabezpieczona jest tylko część publiczna.

I wtedy zaznaczasz TUNEL - aby umożliwić komunikację większej ilości komputerów przez tą samą bezpieczną drogę, tak mi się wydaje (osobiście tryb tunelowy ustawiałem na routerach a nie w Windowsie).

Mogę się mylić ale myślę że tędy droga.

Użyj programu wireshark do monitorowania ruchu w sieci po adresach ip i możliwości podejrzenia treści zobaczysz z którym trybem masz do czynienia.

cytuj zgłoś nadużycie
Brak awataru
Brak użytkownika

Obydwie konfiguracje testuję na serwerach w roli routerów.

Również przypuszczam, że połączenie tunelowe ustawia się typem reguły tunel jakkolwiek szukam potwierdzenia.

cytuj pomógł zgłoś nadużycie
Awatar użytkownika
Artur Kulikowski

Widziałeś to:

http://technet.microsoft.com/en-us/library/cc730656.aspx

 

"If you are using a tunnel, specify the endpoints on the Tunnel Settings tab. By default, no tunnel is used. For more information about using tunnels, see IPsec Tunnel Settings. Tunnel rules cannot be mirrored."

->

IPsec Tunnel Settings

Applies To: Windows 7, Windows Server 2008 R2

IPsec can perform Layer 3 tunneling for scenarios in which Layer Two Tunneling Protocol (L2TP) cannot be used. If you are using L2TP for remote communications, no tunnel configuration is required because the client and server virtual private networking (VPN) components of Windows create the rules to secure L2TP traffic automatically.

To create a Layer 3 tunnel using IPsec, use the IP Security Policies or Group Policy snap-ins to configure and enable the following two rules for the policy:

  1. A rule for the outbound traffic for the tunnel. The rule for the outbound traffic is configured with both a filter list that describes the traffic to be sent across the tunnel and a tunnel endpoint of an IP address configured on the IPsec tunnel peer (the computer or router on the other side of the tunnel).

  2. A rule for the inbound traffic for the tunnel. The rule for the inbound traffic is configured with both a filter list that describes the traffic to be received across the tunnel and a tunnel endpoint of a local IP address (the computer or router on this side of the tunnel).

noteNote
You must create both an inbound and outbound for each tunnel connection. If a filter is created for only one direction, the rule will not be applied.

When creating a policy for a computer Windows Vista or a later version of Windows, you can specify either an IPv4 address or an IPv6 address. You must specify an endpoint for each side of the tunnel and the address protocol version must be the same for both sides. That is, if you specify an IPv6 address for the source side of the tunnel, then you must also use an IPv6 address for the remote side of the tunnel.

For each rule, you must also specify filter actions, authentication methods, and other settings.

 

Po przeczytaniu tego wnioskuję, że Twoje założenia były słuszne. Daj znać koniecznie cz eksperyment ot potwierdzi ponieważ sam jestem bardzo ciekaw.

Może jakieś PrntScrn z podsłuchanego ruchu z opisem. Przyda się przyszłym czytelnikom z podobnym problemem.

cytuj pomógł zgłoś nadużycie
odpowiedz
REKLAMA
Nasze serwisy:
elektrykapradnietyka.com
przegladelektryczny.pl
rynekelektroniki.pl
automatykairobotyka.pl
budowainfo.pl