Собственно субж.
Win95 в принципе не важна, только Win98/98SE/ME.
Пока нашел только, что к сетевухам Intel 100/S PRO идет софт "Intel® Packet Protect II", который и реализует IPSec под указанными ОС. Но ставить во все клиентские машинки новые сетевухи за 30$ - накладно :)
>Собственно субж.
>Win95 в принципе не важна, только Win98/98SE/ME.
>Пока нашел только, что к сетевухам Intel 100/S PRO идет софт "Intel®
>Packet Protect II", который и реализует IPSec под указанными ОС. Но
>ставить во все клиентские машинки новые сетевухи за 30$ - накладно
>:)
в Микрософте поройся, было у них что-то такое...
>Собственно субж.
>Win95 в принципе не важна, только Win98/98SE/ME.
>Пока нашел только, что к сетевухам Intel 100/S PRO идет софт "Intel®
>Packet Protect II", который и реализует IPSec под указанными ОС. Но
>ставить во все клиентские машинки новые сетевухи за 30$ - накладно
>:)
а pptp тебя не устроит?
Работаю админом в небольшом ISP. Нужно бы всех клиентов посадить на VPN, потому как привязка к MAC+arpwatch изрядно надоела.
А если уж делать, то делать сразу _правильно_. Вот только про уязвимость реализации pptp в Win на каждом заборе пишут. А когда клиент качнет за денек каким-нить вирусом гига так 2-3, а потом скажет, что это не он, а кто-нить другой, потому что у нас vpn "дырявый" - тут уж с ним не поспоришь :(Потому pptp не хотелось бы...
>Работаю админом в небольшом ISP. Нужно бы всех клиентов посадить на VPN,
>потому как привязка к MAC+arpwatch изрядно надоела.
>А если уж делать, то делать сразу _правильно_. Вот только про уязвимость
>реализации pptp в Win на каждом заборе пишут. А когда клиент
>качнет за денек каким-нить вирусом гига так 2-3, а потом скажет,
>что это не он, а кто-нить другой, потому что у нас
>vpn "дырявый" - тут уж с ним не поспоришь :(
если собираешься спорить с клиентом на юридическом уровне, то тебе никакой IPSec не поможет...
тут нужно решение сертифицированное гостехкомиссией или что-то в таком роде... т.е. чтобы официальный сертификат был!>Потому pptp не хотелось бы...
согласен!кстати, а у клиентов пограничные машины на Win9х сделаны??? и они еще хотят какой-то секьюрности?
>если собираешься спорить с клиентом на юридическом уровне, то тебе никакой IPSec
>не поможет...
>тут нужно решение сертифицированное гостехкомиссией или что-то в таком роде... т.е. чтобы
>официальный сертификат был!Ну все равно, для убедительности. И вообще, чтобы по-человечески было.
>кстати, а у клиентов пограничные машины на Win9х сделаны??? и они еще
>хотят какой-то секьюрности?
Не пограничные, а это и есть сами клиентские машины. Я же написал, что провайдеры мы маленькие, один клиент как правило имеет 1-5 машин, сервера у них нет.Почитал тут про L2TP/IPSec патч для Win9x - вроде оно.
>Ну все равно, для убедительности. И вообще, чтобы по-человечески было.
как вариант - тогда физически раздели своих пользователей. надеюсь, они у тебя они не на одном хабе висят?
разделить можно либо совсем, вплоть до отдельных линков и отдельных портов на маршрутизаторе или только VLAN-ами на коммутаторе...>Не пограничные, а это и есть сами клиентские машины. Я же написал,
>что провайдеры мы маленькие, один клиент как правило имеет 1-5 машин,
>сервера у них нет.
тем не менее, должны понимать, что если Win9x выставлять в интернет, то ни о какой защите говорить не приходится!кстати, никто им не запрещает ставить свои персональные файерволы, счетчики трафика и т.п.
>Почитал тут про L2TP/IPSec патч для Win9x - вроде оно.
как вариант, возможно, сойдет...
если получится настроить - поделись успехами, плиз.хотя железяка, которая делает VPN на IPSeс стоит уже меньше $100...
почему бы не поставить такую на каждого клиента и одну себе?
и администрить их проще, и от глюков клиентских виндов зависеть не будешь...
>как вариант - тогда физически раздели своих пользователей. надеюсь, они у тебя
>они не на одном хабе висят?:) В том-то и дело, что на одном. Потому и хочу посадить всех на VPN. А то с подменой MAC'ов надоедать начинают. Как настраивать VLAN'ы - в курсе, вот только менять везде обычные свичи на такие - меня начальство не поймет.
>тем не менее, должны понимать, что если Win9x выставлять в интернет, то
>ни о какой защите говорить не приходится!Ну в общем да. Но моя совесть должна быть спокойна, я должен сделать все, чтобы за трафик, идущий на их IP, были ответственны они.
>хотя железяка, которая делает VPN на IPSeс стоит уже меньше $100...
>почему бы не поставить такую на каждого клиента и одну себе?
>и администрить их проще, и от глюков клиентских виндов зависеть не будешь...
Опять же - дорого :( Дорого для тех клиентов, кто качает по 50-500Мб в месяц.
Для интереса: что за железка? В смысле конкретную модель для примера бы.
>:) В том-то и дело, что на одном. Потому и хочу посадить
>всех на VPN. А то с подменой MAC'ов надоедать начинают. Как
>настраивать VLAN'ы - в курсе, вот только менять везде обычные свичи
>на такие - меня начальство не поймет.
хотя бы не везде, а те, с которых на клиентов линки идут...
этим ты еще и клиентов изолируешь друг от друга, а то у них наверняка папки на весь интернет расшарены...>Для интереса: что за железка? В смысле конкретную модель для примера бы.
посмотри D-Link серию DI-804
А если клиенту не надо VPN, скажет не хочу мол.
>А если клиенту не надо VPN, скажет не хочу мол.
тогда пусть платит за трафик своих вирусов молча! :)кстати, если ставить отдельную железяку для этого, то клиенту можно и вообще не говорить об этом :)
Что то не понятно, если ставишь VPN у себя на гейте и между тобой и клиентом VPN . типа он не открутится от трафика?
Фигня, если ему надо отмазаться, он будут отнекиваться хоть что ставь.
" если уж делать, то делать сразу _правильно_." и этот посыл под вопросом, где это видно что бы ISP клиентов в VPN выводил.
Делай pppoe вот логин, а вот и трафик к логину , уж если отмазываться будет тогда вообще ему ничего не указ, все равно что ставить под вопрос вообще всю систему статистики для дайилапщиков.
>Что то не понятно, если ставишь VPN у себя на гейте и
>между тобой и клиентом VPN . типа он не открутится от
>трафика?
>Фигня, если ему надо отмазаться, он будут отнекиваться хоть что ставь.
вот тут и нужна сертифицированная система... тут уж отнекивайся/не отнекивайся, а платить должен!
правда, такая система тоже денег стоит... и побольше, чем коммутатор на 24 порта с VLAN-ами...>где это видно что бы ISP клиентов в VPN выводил.
не такая уж редкая ситуация, насколько я в курсе... особенно в домовых сетях, где каждый второй считает себя хакером и от таких надо как-то прикрываться...>Делай pppoe вот логин, а вот и трафик к логину , уж
а чем аутентификация pppoe принципиально отличается от аутентификации vpn?
если только стойкостью... и в меньшую сторону... хотя в данном контексте, имхо, без разницы...>если отмазываться будет тогда вообще ему ничего не указ, все равно
>что ставить под вопрос вообще всю систему статистики для дайилапщиков.
а, собственно, об этом речь изначально шла, что клиент не признает трафик своим, следовательно ставит под сомнение систему учета трафика провайдера...
та же проблема, не подскажите что вообще грамотного можно почитать - что за зверь ipsec
>та же проблема, не подскажите что вообще грамотного можно почитать - что
>за зверь ipsecпрям на этом сайте в разделе "Документация" в поиске набери IPSec
на http://www.securitylab.ru/ тоже можно так сделать...
а еще бывают и другие системы поиска...