VK
ну что в голову пришло, это например есть на внешнем адресе сайт, и ещё надо канал передачи данных.
Size: a a a
2020 February 16
N
а..хм...ну то есть в теории да, если есть какой-то сервис на адресе л2тп сервер, то пусть там хттпс шифрует.
N
но это всё равно как то странно) если поднял л2тп, то проще сайт внутрь отправить, чтобы он не светился в интернете
N
но такое себе)
VK
а может как раз надо чтоб светился... но в целом да, не всегда такое встречается.
N
то есть в теории, если нужен весь трафик шифровать, то можно не генерить политику привязанную именно к порту 1701. у меня там в основном sip и 1с)
MO
но это всё равно как то странно) если поднял л2тп, то проще сайт внутрь отправить, чтобы он не светился в интернете
Вас безопасники покусали )))))?
VK
или ситуация с рутерами без аппратного шифрования. когда какой-нить видеопоток надо без шифрования гонять, а что-то понтереснее в шифрованый канал.
N
Вас безопасники покусали )))))?
нет)) в нашем мухосранске нет таких должностей)) просто хочу переехать на сертификаты)
N
или ситуация с рутерами без аппратного шифрования. когда какой-нить видеопоток надо без шифрования гонять, а что-то понтереснее в шифрованый канал.
видеопотока нет, так что...вроде как неактуально)
VP
а смысл создания шифрованного канала разве не состоит в том чтобы спрятать весь трафик?....или я не совсем понимаю что такое "еще какой-то трафик"?
Нет, смысл в том, чтобы шифровать то, что нужно и с нужными параметрами.
N
Нет, смысл в том, чтобы шифровать то, что нужно и с нужными параметрами.
а как понять то что нужно? мне кажется что нужно шифровать всё...видео у меня не ходит между клиентом и сервером, а смысл в л2тп - это общие внутренние ресурсы(smb,ftp, http), sql, 1с, rdp, sip
VP
а как понять то что нужно? мне кажется что нужно шифровать всё...видео у меня не ходит между клиентом и сервером, а смысл в л2тп - это общие внутренние ресурсы(smb,ftp, http), sql, 1с, rdp, sip
Возможно Вы не поняли механизм инкапсуляции и шифрования. Там важно что во что инкапсулируется. )
В "классическом" случае ВЕСЬ трафик, что маршрутизируется в туннель, инкапсулируется в l2tp и, соответсвтенно, айписеком достаточно шифровать только 1701, поскольку все остальное завернуто ранее. Но может быть и наоборот - весь трафик между пирами шифрутеся айписеком, а уже зашифрованное инкапсулируется в l2tp. В этом случае политики айписек должны учитывать все порты.
В "классическом" случае ВЕСЬ трафик, что маршрутизируется в туннель, инкапсулируется в l2tp и, соответсвтенно, айписеком достаточно шифровать только 1701, поскольку все остальное завернуто ранее. Но может быть и наоборот - весь трафик между пирами шифрутеся айписеком, а уже зашифрованное инкапсулируется в l2tp. В этом случае политики айписек должны учитывать все порты.
N
Оххх. У меня скорее всего классический случай. Просто галочки наставлены в настройках сервера.
N
Как в начале говорил Роман.
N
Скорее всего мне не нужно именно порт 1701 генерить) потому что весь трафик между сетями и так внутри л2тп
VP
Скорее всего мне не нужно именно порт 1701 генерить) потому что весь трафик между сетями и так внутри л2тп
Если классический(галочкой), то нужно использовать в политике 1701 порт и протокол юдипи
N
Это сейчас так сделано, а я хочу переделать на сертификаты
N
Сертификаты имеет смысл заводить, не забывая вести CRL.