Previous Topic

Next Topic

Book Contents

Book Index

Novell Border Manager

Novell Border Manager je jednou z implementací protokolu IPSec. Jedná se o softwarový balík určený k vytváření virtuálních privátních sítí. Na straně klienta se používá aplikace Border Manager VPN Client, na straně serveru (tj. ve vzdálené síti, do níž klient vytváří "tunel") Border Manager Enterprise Server.

V souboru README.TXT na instalačním disku se uvádí následující:

"Není možné použít NAT na cestě mezi VPN klientem a VPN serverem. IP a IP pakety jsou zapouzdřeny a šifrovány VPN klientem a pro zapouzdření je použita zdrojová adresa VPN klienta. Zabezpečující hlavička IPSec (Authentication Header) je vytvořena na základě IP adres VPN klienta a VPN serveru. Změní-li NAT některou z těchto adres (klienta nebo serveru), ověření zabezpečení po přijetí paketu selže a paket bude zahozen. NAT také zpravidla zpracovává pouze protokoly TCP, UDP a ICMP a ostatní pakety zahazuje.

Chcete-li sdílet VPN připojení pro celou lokální síť, doporučuje se namísto Border Manager VPN klienta použít Border Manager Enterprise Server a vytvořit VPN typu server - server."

Border Manager Enterprise Server je ale velmi drahý pro domácí uživatele a malé firmy. Navíc vyžaduje nastavení statického směrování ve vzdálené síti, do níž se připojujete. Řešení doporučované firmou Novell je pro lokální síť připojenou jednou internetovou přípojkou (pomocí NAT) nepoužitelné.

Experimentálně však bylo ověřeno, že je možné propojení realizovat za použití WinRoute a Novell Border Manager VPN Client, jestliže bude VPN Client nainstalován přímo na počítači s WinRoute. Tato konfigurace umožní všem počítačům ve vaší lokální síti přístup do vzdálené sítě. Není nutná žádná konfigurace vzdálené sítě.

Postup při instalaci

  1. Nainstalujte Border Manager VPN Client na počítač, který bude branou do Internetu (na nějž bude nainstalován WinRoute). Přesvědčete se, že je možno navázat spojení do vzdálené sítě a počítače v ní jsou dostupné.
  2. Nainstalujte na tento počítač WinRoute Pro a proveďte konfiguraci WinRoute a ostatních počítačů v síti (viz kap. Instalace a Nastavení WinRoute a lokální sítě) - bez ohledu na VPN. Ujistěte se, že přístup do Internetu přes WinRoute z lokální sítě funguje.
  3. Pro vytvoření VPN spusťte Border Manager VPN Client a přihlaste se do vzdálené sítě.

Toto je možné díky podpoře IPSec ve WinRoute Pro. Ta zajistí, že se překlad adres (NAT) provede DŘÍVE, než je paket směrován na virtuální IPSec rozhraní. Tím je zajištěno, že při zapouzdření bude mít paket již správnou zdrojovou IP adresu (tj. veřejnou adresu vnějšího rozhraní WinRoute). Pro příchozí pakety je proces obrácený: nejprve proběhne odpouzdření paketu a teprve potom zpětný překlad adres. Paket pak může být směrován na správný počítač uvnitř lokální sítě.

Omezení této konfigurace spočívá v tom, že připojování VPN klienta do vzdálené sítě se musí provádět ručně. Klient nemůže být připojen trvale - po určité době nečinnosti (nastavené na VPN serveru) dojde k automatickému odpojení. Přestože Border Manager podporuje i směrování IPX paketů, nelze v tomto případě mezi lokální a vzdálenou sítí protokolem IPX komunikovat, protože WinRoute směruje pouze IP pakety. Komunikace IPX by tedy fungovala pouze z počítače s WinRoute / Border Manager VPN klientem.

Viz též...

Virtuální privátní sítě (VPN)

PPTP server za WinRoute

Příklad realizace VPN

IPSec klient