vpn teilnetze 10.x.x.x und 192.168.x.x
 

hallo
habe da ein interesante aufgabe wo ich nicht ganz
durchblicke und zwar:
welches Problem hat man in einem VPN mit folgenden
parametern:
- in beiden lokalen teilnetzen werden private ip adressen
benutzt.
das eine Teilnetz benutzt ip adresse der form 10.x.x.x Das andere Teilnetz adressen der form 192.168.x.x
- Zwischne den beiden Teilnetzen soll IPSec im transport modus benutzt werden
- Zur sicherung der integrität werden Authentication Header eingesetzt.
- Beide Teilnetze sind über "normale" Router (gateways)
an das internet angeschlossen
_________________________________
Kann das Problem sein dass die beiden teilnetze gar nicht miteinander kommuniziern können
auf grund der verschiedenen ip´s


für einige tipps wäre ich dankbar
gruß
fenster

Das ist aber hier nicht der Fall, 10.X.X.X ist eine Class-A Adresse, nur 192.168.X.X ist eine private IP-Adresse !

Wie sind denn die Router konfiguriert ?

10.x.x.x ist auch eine RFC1918 Adresse und wir im Internet nicht geroutet!

RFC1918
[quote]3. Private Address Space
The Internet Assigned Numbers Authority (IANA) has reserved the
following three blocks of the IP address space for private internets:

10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

@pilot737at
 

hallo


was meinst du damit ?
"Wie sind denn die Router konfiguriert ?"


es handelt sich hier um eine theoritische frage
sozusagen eine schulaufgabe


mehr info habe ich über diese aufgabe auch nicht

"welches Problem hat man in einem VPN mit folgenden
parametern: ... "





gruß
fenster

bei diesem setup sollts überhaupt keine probleme geben, annhand der ip adressen zumindest.

laut bsp.: muss es aber eines geben
 

hallo



laut bsp.: muss es aber eines geben
vielleicht ein sicherheitsproblem ?



gruß
fenster

Hab mich schlau gemacht:

Für größtmögliche Sicherheit einer Gateway zu Gatewayverbindung (zB VPN) ist der Tunnelmodus von IPSec zu wählen da dieser das ursprüngliche Datagramm vollständig nochmal kapselt ( im Gegensatz zum Transportmodus )
ich denke mal das ist der "Fehler" ;)

Ich schreib das alles nur unter vorbehalt - "aus dem kopf":

AH bietet keinen vollkommenen schutz der ip-pakete. im gegensatz zu esp wird der ip-header nicht verschlüsselt, sonderen die pakete werden mit dem org. ip-header versendet.
vieleicht ist das gemeint?
aber "problem" würde ich das nicht nennen. kommt halt drauf an, was man will.

da aber - zumindest dem anschein nach - keine security gateways an den beiden enden verwendet werden, fällt esp eigentlich aus.

zudem bleibt bei einer implementierung über AH die last der verschlüsselung beim client (auch wird für jeden client ein eignener key verwendet). evtl. ein performance problem. obwohl ich auch das kein "problem" nennen würde.

zu guter letzt: beim tunnel-mode wird der org.-ip-header weiterverwendet. dabei könnte es zu routing problemen zum ziel-netz kommen (pirv. adressen werden i.d.r. nicht geroutet). d.h. wenn deine teilnetze, wie in der angabe über das internet miteinander verbunden sind, und nicht direkt, werden die pakete nie ankommen...