|
Reformat
Утилита для форматирования USB флешек, USB винчестеров
(для совместимости с OS/2)
(promo)
Unsorted
|
|
|
|
AD: ArcaOS 5.1 Russian LIP
Russian ARCAOS exists and it's available since the middle of 2017.
All versions are supported: 5.1, 5.1.1.
eCo Software is able to maintain OS/2 LIP packages for any other language
(German, Dutch, Brazilian Portuguese, Spanish, Sweden, etc)
|
VPN (IPSec) between two eCS
|
TITLE: VPN (IPSec) between two eCS
DATE: 2002-10-25 10:40:16
AUTHOR: Eugene Kazarinov
Please use online translator
go to http://translate.google.com
and request the translation of http://ru.ecomstation./projects/reviews/index.php?id=75
to your language |
Далее ты найдешь алгоритм действий для соединения двух осевых машин
между собой по VPN. Возможно поднятие туннеля, через который будет идти
весь трафик между двумя шлюзами по публичной локальной сети.
0. Прелюдия
В оси есть возможность создания VPN соединений, но по непонятным
причинам IBM не довела эту возможность до удобоюзабельного состояния,
когда портировала это дело с AIX'а и в итоге VPN соединение разрывается
через 8 часов или около того (я сейчас не помню). При этом шифруется все
это дело слабым криптованием. Длиной ключа 1024 здесь глубо не пахнет, а
посему возможно решение, когда ключи будут обновляться каждые 3000
секунд (50 минут) к примеру.
1. Что нам нужно
- две осевые машины со стеком tcp/ip 4.3 (ранние мною не проверялись.
проверка производилась на комбинациях машин aurora, acp1 и acp2)
- ftp сервер на одной из машин (будем называть ее сервером)
- rexx на обеих машинах (обычно идет в комплекте)
- набор скриптов моего производства.
2. Как это работает
Обозначения: O:\ - это твой загрузочный диск
Далее приводится пример рабочей конфигурации, зачем тот или иной
дергунок читай эту доку,
а также другие доки). Для начала нужно убедиться, что
- В системе установлен VPN, убедитесь в наличии строк в config.sys
DEVICE=O:\MPTN\PROTOCOL\IPSEC.SYS
DEVICE=O:\MPTN\PROTOCOL\FWIP.SYS
DEVICE=O:\MPTN\PROTOCOL\CDMF.SYS
DEVICE=O:\MPTN\PROTOCOL\MD5.SYS
DEVICE=o:\mptn\protocol\des.sys
- В системе установлен и запущен встроенный файрвол, убедитесь в наличии строк в config.sys
SET FWLOGS=R:\LOG\FW
rem ^^^туда будем валить логи
RUN=O:\MPTN\BIN\FSSD.EXE
CALL=O:\MPTN\BIN\CFGFILT.EXE -u -i -d
в %ETC% должны находиться файлы:
3. Вход для пользователя
На ftp сервере нужно создать вход для юзера, который будет обновлять
ключи.
4. Все готово
Теперь устанавливаем и настраиваем VPN refresher
(скачиваем файл отсюда).
внутри 5 скриптов, всех их кидаем куда-нибудь в PATH
- на обеих машинах должен быть запущен комплирующий скрипт
VPNrefresher.compiler.cmd.
У него единственный параметр - время передергивания VPN соединения в
секундах, если VPN соединение не инициировалось ранее с обновленными
ключами. (Система может работать очень долго и на необновляемых ключах,
она будет просто реинитить соединение каждые сколько-то секунд, но с
точки зрения безопасности - это полная халатность)
- На пассивной машине (на сервере. здесь же стоит ftp демон и принимает
новые ключи по старому VPN соединению) VPNrefresher.passive.cmd
три параметра:
- ftpDir - директория мониторинга, где следует ожидать появления файлов-флагов
- localip, remoteip - ip адреса обоих концов VPN соединения
- на активной машине (будем называть его клиентом) VPNrefresher.active.cmd
параметры:
- localip tidlocal - ip адрес активной машины и номер туннеля используемый
для идентификации VPN соединения
- remoteip tidremote - тоже для пассивной стороны
(в моем случае номер туннеля на обеих машинах - 14)
- remoteuser remotepasswd - логин и пароль на ftp сервер
- refreshtime - интервал времени в секундах, через который следует
обновлять ключи
Если запускать скрипты в указанном порядке, то система начнет работать,
но первые ключи будут переданы по незащищенному каналу, вернее даже без
всяких каналов вообще. После выполнения следующего пункта стоит тут же
перезапустить активный скрипт (VPNrefresher.active.cmd)
но здесь есть два пути:
- тебя это устраивает и ты так и сделаешь, то бишь. сейчас у тебя уже
сгенерировались ключи и уже синхронизировались на обеих машинах. Теперь
нужно выполнить следующий пункт и после его воплощения перезапустить
активный скрипт. После чего произойдет обновление ключей опять по
незащищенному каналу, но после инициализации соединения весь трафик
между двумя машинами начнет ходить по VPN соединению. (В чем суть, если
у тебя файрвол уже стоит и работает, то можно после перезагрузки сразу
выполнить пункт 5, а потом выполнять пункт 4, если же ты делаешь это с
нуля, то я думаю нет ничего страшного и зазорного, если ключи пару раз
будут переданы по публичной сети, если у тебя нет возможности оперативно
вмешаться в работу удаленной машины в случае, когда что-то пойдет не
так, то лучше перестраховаться и удостовериться, что все работает). Если
ключи снова обновились и скрипты нигде не ругнулись - мои поздравления.
теперь например ping 10.0.37.7 или 10.0.37.1 с одной из машин будет
ходить по VPN. НО. Ключи-то были переданы на пассивную машину еще не по
VPN соединению, поэтому нужно еще раз перезапустить активный скрипт и
удостовериться, что ключи обновляются и по защищенному туннелю тоже.
- тебя не устраивает передача первых ключей по публичным каналам. В
этом случае нужно выполнить следующий пункт и каким-либо только тебе
известным образом перенести файлы для удаленной машины на удаленную
машину. Готового решения в скриптах для этого нет. Для этого ты
выполняешь пункт 5 до пункта 4 после чего нужно проинитить VPN
соединение или каким-либо другим способом не дать активному скрипту
запихнуть ключи на пассивную машину, например, ему можно сказать кривой
логин на ftp.
После чего подхватить 4 сгенерированных файла.
Файлы fwmctx.10.0.37.1._.10.0.37.7 и policy.10.0.37.1._.10.0.37.7
тиснуть в %ETC% на активной машине, добавив в конец имени .man
Файлы *.10.0.37.7._.10.0.37.1.* перенести на удаленную машину и также
добавить .man в конце имени каждого.
После чего нужно запустить на каждой машине VPNrefresher.pushReInit.cmd и
вуаля - VPN соединение должно подняться. Проверяется ping'ом и смотрением
в логи. После чего можно перезапустить на активной стороне
VPNrefresher.active.cmd, чтобы удостовериться, что автоматическое
обновление работает.
5. Редактирование fwfiltrs.cnf
В fwfiltrs.cnf добавляем строки ДО той, что я указывал ранее
на активной машине (клиент, там где нет ftpd и которая инициирует
обновление ключей)
ее ip 10.0.37.1
permit 10.0.37.1 255.255.255.255 10.0.37.7 255.255.255.255 ah any 0 any
0 secure local both f=y l=n
permit 10.0.37.7 255.255.255.255 10.0.37.1 255.255.255.255 ah any 0 any
0 secure local both f=y l=n
permit 10.0.37.1 255.255.255.255 10.0.37.7 255.255.255.255 esp any 0 any
0 secure local both f=y l=n
permit 10.0.37.7 255.255.255.255 10.0.37.1 255.255.255.255 esp any 0 any
0 secure local both f=y l=n
permit 10.0.37.1 255.255.255.255 10.0.37.7 255.255.255.255 udp eq 4001
eq 4001 secure local both f=y l=n
permit 10.0.37.7 255.255.255.255 10.0.37.1 255.255.255.255 udp eq 4001
eq 4001 secure local both f=y l=n
permit 10.0.37.1 255.255.255.255 10.0.37.7 255.255.255.255 all any 0 any
0 secure local both t=14 f=y l=n
permit 10.0.37.7 255.255.255.255 10.0.37.1 255.255.255.255 all any 0 any
0 secure local both t=14 f=y l=n
#эти две строки объясню ниже
#permit 10.0.37.1 255.255.255.255 0 0 all any 0 any 0 secure local both
t=14 f=y l=n
#permit 0 0 10.0.37.1 255.255.255.255 all any 0 any 0 secure local both
t=14 f=y l=n
На второй машине (пассивной) в моем случае это гейт в интернет, ip 10.0.37.7
permit 10.0.37.7 255.255.255.255 10.0.37.1 255.255.255.255 ah any 0 any
0 secure local both f=y l=n
permit 10.0.37.1 255.255.255.255 10.0.37.7 255.255.255.255 ah any 0 any
0 secure local both f=y l=n
permit 10.0.37.7 255.255.255.255 10.0.37.1 255.255.255.255 esp any 0 any
0 secure local both f=y l=n
permit 10.0.37.1 255.255.255.255 10.0.37.7 255.255.255.255 esp any 0 any
0 secure local both f=y l=n
permit 10.0.37.7 255.255.255.255 10.0.37.1 255.255.255.255 udp eq 4001
eq 4001 secure local both f=y l=n
permit 10.0.37.1 255.255.255.255 10.0.37.7 255.255.255.255 udp eq 4001
eq 4001 secure local both f=y l=n
permit 10.0.37.7 255.255.255.255 10.0.37.1 255.255.255.255 all any 0 any
0 secure local both t=14 f=y l=n
permit 10.0.37.1 255.255.255.255 10.0.37.7 255.255.255.255 all any 0 any
0 secure local both t=14 f=y l=n
#объясню ниже.
#permit 0 0 10.0.37.1 255.255.255.255 all any 0 any 0 secure local both
t=14 f=y l=n
Всунул строки?
Теперь возвращайся в пункт 4 и перезапускай активный скрипт.
Что это за строки, которые я обещал прокомментировать в выше?
Это правила файрвола, которые указывают ему посылать весь трафик на
конкрентный ip по туннелю.
Причем обращаю внимание, что на конечной машине (на клиенте 10.0.37.1) -
две строки. Одна строка указывает, что нужно
принимать трафик из туннеля, а вторая что исходящий трафик нужно пихать
также в туннель.
На шлюзе (10.0.37.7) - только одна, предписывающая посылать трафик НА ip
10.0.37.1 через туннель.
Трафик ОТ 10.0.37.1 в интернет через туннель посылать не нужно, потому
что он направлен в интернет, а с тем концом, извините, мы VPN соединений
не поднимали.
Вот и все. Приятной работы.
Встреченные глюки и баги прошу писать в комментарии к этой статье или на
мыло.
P.S. Кто-нибудь строит биллинговую систему выхода в интернет на eCS/2 ??
Изучается спрос на подобные системы. Прошу связаться со мной по электронной почте.
Автор: Eugene Kazarinov (TEAM OS/2 Russia)
|
Test the program:
|
Can I use social networks from eComStation? Can I manage my bank account from eCS? share your experience..
|
Comments: RElf 
2002-10-25 11:05:23 | . .. ..... ......: ... ... ... eCS?
| Constantin
2002-10-25 11:32:46 | 2Eugene: ... ......., ... .. .......... . VPN+FW. ... .. ..... ...... .......:
1. ...... ......... . DES-..... 128 .... .. "........." .. ........ ............ RSA ...... 1024.
2. ..... ...... .. .... .. ......, ....... ... ........ - .............. ....... ........ ..... ...... ........... . ............. . .............. ............. ....... .... .. ......... ..... ..... .. ... ........... ....... .........:
3. ..... ...... (. .... . 1-....) ........ .. ..... ........... ......, ... .......... ("........"). . ....... - .. ... . .... ... ...... ....... :)) | kamuzon
2002-10-26 06:21:44 | 1. ........
2. ........ ....... .......... ......., ....... .. ..... .............. ........ . ..... ... ........ . ......... ..... ....... ..... .....-...... .... . ...... ........... ..... . ............ ... .....-...... .......... . ....... ......., .. ... .......... ............ ...... (... ....... ............... .....-...... ........ ......... .... . ....... .....-...... ..... ....... ... ... ...-...... ..-.......).
3. ...... .. .....
... .......... ...? | .........
2002-10-26 22:10:04 | ......... ..... ......... ..... ...... .. ssh. ... . ... ....... | kamuzon
2002-10-27 06:25:08 | .... .....-.... rexx dll ... ............... ...... .. ssh, ..... ......, etc ?? | Phantom
2002-11-01 15:19:58 | . .... .. ... ....... ..... ....... ......... VPN-...... (.. .. pptp), ....... ....... ...... ..... ....... ........... .. ..... . ...... ... ... ....... .. VPN, . IPSec? | zuko
2002-11-01 15:31:08 | pptp <> VPN (ipsec)
Phantom: .. .. ...... ..... ... ... ...... ...p... pptp ;)
ipsec ......... ... ...... ppp .p........, .. .........p... ip ........ . ip ........ . ...p...../................
| kamuzon
2002-11-04 01:04:21 | ..... ......... ... ........ ... ... .... | Phantom
2002-11-04 01:16:35 | 2kamuzon: ........., . ...... ..... .. ......., ... ... IPSec. ... .... ......... ...... .. .... ......, ..... . ........ . ........ ....., ... ... ... .... IPSec.
2zuko: . ...., ... ..... pptp, VPN . IPSec, .. .. .... .. ..... ....... . ............ .., . ... .. ......... . ........ pptp - .... ;) | kamuzon
2002-11-04 01:20:36 | ..., ... ... .. .... ....., ....... .. ...... ...... .....? 8=]
. .... ..... .. ........, ... ... pptp
.... ...., . ... ......... ..... ... ....... ........ ....... .. ... ......., ...-.. ... .........?.... . ... . .... .... | Phantom
2002-11-04 01:31:27 | .... ......
"...." .... ............ . ......... "... .... ....... .... ..........". | kamuzon
2002-11-04 01:40:22 | ...
"... .... ....... .... .........." ...... ... "...."
8=] | Mancubus
2003-04-05 09:44:38 | . ......... Os/2 ..... VPN . WIN2k ........ ..... ........? | Pavel Shtemenko
2003-08-07 11:57:14 | ... . . ...... ....... ;-) . ...... ..... .... .. ......., ... . ........ _..........._ ...... .... ...... . ECP .. ... ....... . ...... ...... . AH . .... ......, ... .. ........... ............. | .. ......
2004-07-22 04:33:08 | //. ......... Os/2 ..... VPN . WIN2k ........ ..... ........?//
... ......., ..... ......... ..... InJoy 3.0 - ...... ........ ........ |
|
Siberian OS/2
|
