Novell Border Manager

Novell Border Manager je jednou z implementacφ protokolu IPSec. Jednß se o softwarov² balφk urΦen² k vytvß°enφ virtußlnφch privßtnφch sφtφ. Na stran∞ klienta se pou₧φvß aplikace Border Manager VPN Client, na stran∞ serveru (tj. ve vzdßlenΘ sφti, do nφ₧ klient vytvß°φ "tunel") Border Manager Enterprise Server.

V souboru README.TXT na instalaΦnφm disku se uvßdφ nßsledujφcφ:

"Nenφ mo₧nΘ pou₧φt NAT na cest∞ mezi VPN klientem a VPN serverem. IP a IP pakety jsou zapouzd°eny a Üifrovßny VPN klientem a pro zapouzd°enφ je pou₧ita zdrojovß adresa VPN klienta. ZabezpeΦujφcφ hlaviΦka IPSec (Authentication Header) je vytvo°ena na zßklad∞ IP adres VPN klienta a VPN serveru. Zm∞nφ-li NAT n∞kterou z t∞chto adres (klienta nebo serveru), ov∞°enφ zabezpeΦenφ po p°ijetφ paketu sel₧e a paket bude zahozen. NAT takΘ zpravidla zpracovßvß pouze protokoly TCP, UDP a ICMP a ostatnφ pakety zahazuje.

Chcete-li sdφlet VPN p°ipojenφ pro celou lokßlnφ sφ¥, doporuΦuje se namφsto Border Manager VPN klienta pou₧φt Border Manager Enterprise Server a vytvo°it VPN typu server - server."

Border Manager Enterprise Server je ale velmi drah² pro domßcφ u₧ivatele a malΘ firmy. Navφc vy₧aduje nastavenφ statickΘho sm∞rovßnφ ve vzdßlenΘ sφti, do nφ₧ se p°ipojujete. ╪eÜenφ doporuΦovanΘ firmou Novell je pro lokßlnφ sφ¥ p°ipojenou jednou internetovou p°φpojkou (pomocφ NAT) nepou₧itelnΘ.

Experimentßln∞ vÜak bylo ov∞°eno, ₧e je mo₧nΘ propojenφ realizovat za pou₧itφ WinRoute a Novell Border Manager VPN Client, jestli₧e bude VPN Client nainstalovßn p°φmo na poΦφtaΦi s WinRoute. Tato konfigurace umo₧nφ vÜem poΦφtaΦ∙m ve vaÜφ lokßlnφ sφti p°φstup do vzdßlenΘ sφt∞. Nenφ nutnß ₧ßdnß konfigurace vzdßlenΘ sφt∞.

Postup p°i instalaci

1. Nainstalujte Border Manager VPN Client na poΦφtaΦ, kter² bude branou do Internetu (na n∞j₧ bude nainstalovßn WinRoute). P°esv∞dΦete se, ₧e je mo₧no navßzat spojenφ do vzdßlenΘ sφt∞ a poΦφtaΦe v nφ jsou dostupnΘ.
2. Nainstalujte na tento poΦφtaΦ WinRoute Pro a prove∩te konfiguraci WinRoute a ostatnφch poΦφtaΦ∙ v sφti (viz kap. Instalace a Nastavenφ WinRoute a lokßlnφ sφt∞) - bez ohledu na VPN. Ujist∞te se, ₧e p°φstup do Internetu p°es WinRoute z lokßlnφ sφt∞ funguje.
3. Pro vytvo°enφ VPN spus¥te Border Manager VPN Client a p°ihlaste se do vzdßlenΘ sφt∞.

Toto je mo₧nΘ dφky podpo°e IPSec ve WinRoute Pro. Ta zajistφ, ₧e se p°eklad adres (NAT) provede D╪═VE, ne₧ je paket sm∞rovßn na virtußlnφ IPSec rozhranφ. Tφm je zajiÜt∞no, ₧e p°i zapouzd°enφ bude mφt paket ji₧ sprßvnou zdrojovou IP adresu (tj. ve°ejnou adresu vn∞jÜφho rozhranφ WinRoute). Pro p°φchozφ pakety je proces obrßcen²: nejprve prob∞hne odpouzd°enφ paketu a teprve potom zp∞tn² p°eklad adres. Paket pak m∙₧e b²t sm∞rovßn na sprßvn² poΦφtaΦ uvnit° lokßlnφ sφt∞.

Omezenφ tΘto konfigurace spoΦφvß v tom, ₧e p°ipojovßnφ VPN klienta do vzdßlenΘ sφt∞ se musφ provßd∞t ruΦn∞. Klient nem∙₧e b²t p°ipojen trvale - po urΦitΘ dob∞ neΦinnosti (nastavenΘ na VPN serveru) dojde k automatickΘmu odpojenφ. P°esto₧e Border Manager podporuje i sm∞rovßnφ IPX paket∙, nelze v tomto p°φpad∞ mezi lokßlnφ a vzdßlenou sφtφ protokolem IPX komunikovat, proto₧e WinRoute sm∞ruje pouze IP pakety. Komunikace IPX by tedy fungovala pouze z poΦφtaΦe s WinRoute / Border Manager VPN klientem.