Задачка для сисадминов

[dil]

В конторе используется CheckPoint VPN-1. С клиентской стороны - SecureClient в OfficeMode. Под Windows. Хочется полноценный VPN из-под линукса.

Сам по себе этот чекпоинтовский VPN - IPSec, завернутый в UDP, но с проприетарными расширениями. Поэтому линуксовые реализации не работают. Говорят, работает OpenSwan, но только со статического IP и без NAT, чего я обеспечить не могу. Ходят слухи, что кто-то пропатчил racoon, но я его в таком виде не нашел.

Родной клиент под линукс у чекпоинта есть только для какого-то древнего RH, с современными ядрами не работает даже после допиливания библиотек напильником. SNX тоже не работает, я пробовал. Ругается на ошибку аутентификации. Может, он для меня на сервере не подключен.

В результате у меня получилась монстрообразная конструкция: линукс, в нем VirtualBox, в нём XP, в нём родной клиент для windows.
Он оттуда работает. Но в соответствии с полученной от сервера политикой в XP никого больше не пускает, поэтому из хостовой системы этот VPN недоступен.
Зато пускает наружу, поэтому из XP в хостовый линукс можно пойти по ssh, пробросив через него реверсный туннель в офисную сеть..

Но пробрасывать порты на каждую машину поштучно - сильно неудобно, и вообще конфигурация какая-то кривоватая. Есть идеи по улучшению? Может, можно как-то помимо политики партии пробраться в XP и настроить там NAT?

Comments

[ivlad.livejournal.com]

Мне казалось, расширения там касались даже не NATT, а аутентификации. Некий эквивалент XAUTH в IKE. Ты с сертификатами заводить не пробовал?

[dil.livejournal.com]

нету сертификатов. только логин с паролем, и менять ради меня никто не будет :(

[kiltum.livejournal.com]

ПОставить проксик на нужные протоколы на ХП в виртуалбоксе? И енд-юзеров за линуксом гнать на этот проксик?

[dil.livejournal.com]

из протоколов в основном ssh и разные СУБД, которые через прокси от рождения работать не умеют. прикрутить можно, но это не сильно лучше, чем проброс индивидуальных портов

[kiltum.livejournal.com]

Да, а что мешает поставить в виртуалбокс какой-нить древний линукс, под который есть клиент? Ну а дальше как обычно :)

[dil.livejournal.com]

кстати, да, это выход.. но всё равно какой-то кривой :)

[debug.livejournal.com]

кажется менее кривой, чем винда в виртуалке :)

[dil.livejournal.com]

опаньки. даже старого клиента под линукс уже нигде нет

[alz421.livejournal.com]

Почему это не можешь обеспечить чтоб без NAT?

[dil.livejournal.com]

потому что не могу рабочий ноут воткнуть прямо в модем в качестве роутера

[alz421.livejournal.com]

А почему на роутере VPN end point не можешь поднять, чем тебе рабочий лаптоп уперся?

[dil.livejournal.com]

все равно не получится. я почитал документацию - openswan умеет работать с чекпоинтом только с сертификатами, а у меня логин и пароль

[alz421.livejournal.com]

http://www.fw-1.de/aerasec/ng/vpn-racoon/CP-VPN1-NG-Linux-racoon.html

[ivlad.livejournal.com]

А можно еще купить http://www.checkpoint.com/products/safe@office/index.html говорят, они копеешные.

или http://www.zonealarm.com/store/content/catalog/products/zonealarm_secure_wireless_router.jsp?dc=12bms&ctry=US&lang=en&lid=homepage_promo_top&c=01340 - по-моему, это тоже самое.

[dil.livejournal.com]

они умеют коннектиться к чекпоинтовскому серверу что ли?

[ivlad.livejournal.com]

я вообще-то сотрудник конкурирующей компании, но по-моему, да. причем, там есть еще модификация UTM Edge - она вообще централизовано управляется через smartcenter

[dil.livejournal.com]

спасибо за интересную информацию, конечно, но мне как-то не хочется тратить деньги на покупку железки, если проблема может решиться софтовыми методами за бесплатно :)

а я еще нарыл, что vpnc, оторый вообще-то разрабатывался для циски, умеет работать и с чекпоинтом. но проверить не удалось - оказалось, что в убунте vpnc собран без поддержки ssl, патамушта лицензии несовместимые. вот же уроды.

[ivlad.livejournal.com]

возьми с сайта циски. идея забавная.

[dil.livejournal.com]

в смысле, родной цисковский клиент? его там только клиентам дают.
но он у меня где-то валялся, надо будет попробовать.

[ivlad.livejournal.com]

я что-то подозреваю, что его дают всем зарегистрированным на сайте. хотя, может, и нет. я не верю, что у вас в компании нет ни одной циски.

[dil.livejournal.com]

у нас всё гораздо смешнее. циски есть, но администраторского доступа к ним нет, потому что сетевая инфраструктура отдана на откуп отдельной компании :)

[tullamoredew.livejournal.com]

что то мне говорил друг в чекпоинте что давно идут запросы, и вроде есть testing версии которые можно вытащить если очень нужно. сейчас кину ему мейл, узнаю что к чему

[tullamoredew.livejournal.com]

да, похоже солюшена нет, но говорят что поизврящавшись можно подключиться через openvpn+tambourine

здесь целая дискуссия с кучей вариантов:
http://ubuntuforums.org/showthread.php?t=340307