home *** CD-ROM | disk | FTP | other *** search
/ OS/2 Shareware BBS: 35 Internet / 35-Internet.zip / tnl140.zip / faq.txt < prev    next >
Text File  |  1998-11-01  |  17KB  |  455 lines
  1.  
  2.  
  3. ████████████████████████████████████████████████████████████████████████████
  4.  
  5.  
  6. _|_|_|_|_|                                          _|          _|    _|_|
  7.     _|      _|    _|  _|_|_|    _|_|_|      _|_|    _|        _|    _|    _|
  8.     _|      _|    _|  _|    _|  _|    _|  _|_|_|_|  _|      _|          _|
  9.     _|      _|    _|  _|    _|  _|    _|  _|        _|    _|          _|
  10.     _|        _|_|_|  _|    _|  _|    _|    _|_|_|  _|  _|          _|_|_|_|
  11.  
  12.  
  13.  
  14.                                        Isn't the public Internet just great!
  15.  
  16. ████████████████████████████████████████████████████████████████████████████
  17.  
  18.  
  19.  
  20.   TUNNEL/2                     Version 1.40                November 1, 1998
  21.  
  22.  
  23.  
  24.  
  25. ==========================================================================
  26.  F R E Q U E N T L Y    A S K E D    Q U E S T I O N S
  27. ===========================================================Solutions======
  28.  
  29.  
  30. QUESTION: What is Tunnel/2 and how do I find out more?
  31.  
  32.    Tunnel/2 connects two or more sites via the Internet--securely--as if 
  33.    they were at the same geographical location. The home page is a good 
  34.    place to find more information:
  35.  
  36.     http://www.fx.dk/tunnel
  37.  
  38.  
  39.  
  40. QUESTION: Why use Tunnel/2?
  41.  
  42.    Tunnel/2 provides a tunnel over normal socket connections and is,
  43.    unlike many other Tunnel solutions, not dependant on hardware.
  44.  
  45.    Most important features of Tunnel/2 are two-way dial-on-demand, 
  46.    the ability to have a static IP address that is always reachable,
  47.    RADIUS authentication of remote users, powerful RSA-1024 key 
  48.    sync-up and DES-56 real-time encryption, filtering and compression.
  49.  
  50.    Additionally, Tunnel/2 provides some features that are not found 
  51.    in any other tunneling software. E.g. the ability to plugin new 
  52.    user-exits, using the Plugin Development Kit.
  53.  
  54.  
  55.  
  56. QUESTION: Is Tunnel/2 targeted at businesses or private users?
  57.  
  58.    Both - Businesses can use Tunnel/2 to build a Virtual Net with
  59.    superior connectivity. Private users can use it to:
  60.  
  61.       * get behind the company firewall (from home), 
  62.       * go out through the company firewall and have FULL access to
  63.         another place on net, such as the home LAN (from work)
  64.       * reach hosts behind a Masqueraded PC.
  65.  
  66.  
  67.  
  68. QUESTION: Quick start?
  69.  
  70.    The absolute minimal setup to run Tunnel/2 is:
  71.  
  72.         Tunnel Master 
  73.  
  74.            1.Setup the password.txt file in the Tunnel Master 'root' directory 
  75.            2.Run TM.EXE with default values
  76.  
  77.         Tunnel Slave 
  78.  
  79.            1.Connect InJoy dialer to the Internet with the /D command line 
  80.              option (to avoid creation of default route).
  81.            2.Copy 'connect.txt' from the InJoy directory to Slave directory 
  82.            3.Run TS.EXE /M:masterIPaddr /S:password /F
  83.  
  84.    Continue here: http://www.fx.dk/tunnel/vpn_life.htm
  85.  
  86.  
  87.  
  88. QUESTION: Where are the easy step-by-step setup instructions?
  89.  
  90.    An updated online version can be found at:
  91.  
  92.     http://www.fx.dk/tunnel/vpn_life.htm
  93.  
  94.  
  95.  
  96. QUESTION: My ISP gateway's address changes at each connect, what can I do?
  97.  
  98.    It is possible to grab the 'ISP Gateway Address' from the InJoy file 
  99.    'connect.txt' instead of providing the address on the command line. 
  100.  
  101.    It requires TS to have the file in the working directory, so either just 
  102.    install TS on top of InJoy (not a problem) or let InJoy copy the file 
  103.    to the TS directory when connected. 
  104.  
  105.    If the ISP Gateway address never changes, just copy 'connect.txt' to the 
  106.    slave directory in a one time operation.
  107.  
  108.    The Tunnel Slave needs the ISP Gateway address in order to add a host 
  109.    route through it, to the Master.
  110.  
  111.  
  112. QUESTION: Do you have a customer provided setup guide? You know, one
  113.           that was actually used to get up and working.   
  114.  
  115.    This setup guide has not been checked for accuracy by F/X.
  116.   
  117.    -->MASTER
  118.  
  119.    * install the Tunnel/2 package on the machine you want as the Master.
  120.    * configure TCP for IP forwarding via the TCP configuration or execute
  121.      ipgate ON each time you start the Tunnel/2 master.
  122.    * It is ok to use default TM start up parameters unless your company is 
  123.      already using 10.2 for the internal net, then specify a new Tunnel/2
  124.      subnet on the start up (using the /r parameter) TM /r:10.3.1.1 
  125.    * add a route on EACH machine on your local net that will route packets 
  126.      for the TM machine (10.2.0.0 or 10.3.0.0 if example above) to the 
  127.      machine on your local net.
  128.  
  129.      For example: if the Tunnel/2 master lives on machine 10.1.1.45 on your 
  130.      local net, and you want to reach the machine at 10.1.1.55 from the 
  131.      Tunnel/2 slave you will have to add a route on 10.1.1.55 that points 
  132.      the Tunnel/2 subnet to 10.1.1.45, 
  133.  
  134.              route add -net 10.3.0.0   10.1.1.45     255.255.0.0   1
  135.                             Tm subnet  TM location   subnet mask   hops
  136.  
  137.    * In other words, if you are at the slave and you want to ping 10.1.1.55 
  138.      you need to add a route on 10.1.1.55 that points back to the Tunnel/2 
  139.      Master machine for the Tunnel/2 subnet.
  140.  
  141.    --> SLAVE
  142.  
  143.    * Install the Tunnel/2 package on the machine
  144.    * Configure TCP for IP forwarding
  145.    * Delete default route   (route delete default)
  146.    * Start Internet connection
  147.    * Start Tunnel/2 slave 
  148.  
  149.    TS /G:123.456.789.123  /M:101.123.456.11      /F       /S:password
  150.          ISP gateway      Internet address      Force     Password set up
  151.          address          of your remote net    Connect   in connect.txt    
  152.                           gateway. The real               in the master
  153.                           address the Internet            directory
  154.                           sees to access your
  155.                           remote net, NOT a
  156.                           Tunnel/2 address
  157.  
  158.    * If you started Tunnel/2 master with the defaults that's all you need for
  159.      the slave. If you used the /R parameter on the Master you need the /R
  160.      parameter on the slave TS /G:123.456.789.123 /M:101.123.456.11 
  161.      /R:10.3.2.1
  162.  
  163.  
  164.  
  165. QUESTION: How do I get the plugins?
  166.  
  167.    Plugins are not part of the Tunnel/2 demo version, but are separately
  168.    available from F/X Communications, see www.fx.dk/tunnel/order.htm
  169.  
  170.  
  171.  
  172. QUESTION: Is Tunnel/2 secure without the DES-56 Security Plugin?
  173.  
  174.    The Tunnel/2 standard installation uses password checking to authenticate
  175.    remote clients. This is done via a 3-way authentication protocol that is
  176.    known to be secure.
  177.  
  178.    Data being transferred through the tunnel is NOT encrypted.
  179.  
  180.  
  181.  
  182. QUESTION: How secure is the DES-56 Security Plugin?
  183.  
  184.    The security plugin uses RSA-1024 for key sync-up and DES-56 for 
  185.    real-time encryption of packets.
  186.  
  187.    RSA-1024 is known as 'military grade' security and with todays
  188.    hardware it is literally impossible to hack.
  189.  
  190.    DES-56 has been used for encryption in many areas and is generally
  191.    considered to be safe. With real-time encryption of data, an 
  192.    implementation must choose the best compromise regarding key-bit-size 
  193.    and sheer processing power. Today DES-56 serves as the best compromise.
  194.  
  195.  
  196.  
  197. QUESTION: How fast is the Security Plugin - DES-56?
  198.  
  199.    DES-56 is secure, thus not fast. On a Pentium 133Mhz Slave computer F/X
  200.    typically experiences a maximum of ~11 Kbit per second. The F/X Tunnel 
  201.    uses multiple threads and would therefore benefit from SMP architecture.
  202.  
  203.    Compressing data before they are encrypted will in many cases dramatically
  204.    improve the transfer rate.
  205.  
  206.  
  207.  
  208. QUESTION: What does the Compression Plugin offer?
  209.  
  210.    The compression plugin is based on the same successful algorithm as 
  211.    PKZip (tm). Use it to compress data before going through a leased line, 
  212.    a modem, or even encryption.
  213.  
  214.    The compression is fast and offers a great bandwidth use reduction.
  215.  
  216.  
  217.  
  218. QUESTION: What does the Filter Plugin offer?
  219.  
  220.    The filter plugin allows you to optionally discard packets matched on IP
  221.    address (combined with netmask), TCP port number, protocol, a hex-string, 
  222.    a bit-value, or advanced compound filters.
  223.  
  224.    There is no byte within a packet that cannot be addressed using the
  225.    filter plugin.
  226.  
  227.  
  228.  
  229. QUESTION: How many Slaves can a Tunnel Master support?
  230.  
  231.    One Tunnel Master has handled as much as 400 Tunnel Slaves without
  232.    problems (since March 1996). Several Tunnel Masters can work together
  233.    to handle major networks.
  234.  
  235.    Notice that the use of plugins will dramatically increase the CPU load.
  236.  
  237.    The theoretical limitation for one Tunnel Master would be just just 
  238.    below 2000 Slaves, provided enough CPU power.
  239.  
  240.  
  241.  
  242. QUESTION: Where does the Tunnel Master store information about slaves?
  243.  
  244.    When a Slave connects to the Master it tells the Master characteristics
  245.    about itself. That information is stored in the file 'connect.dat' which
  246.    is updated at every Slave connect.
  247.  
  248.    Over time, you will see that 'connect.dat' records information about more
  249.    and more slaves as you periodically change your setup. To clean up that
  250.    information, simply delete the file.
  251.  
  252.  
  253.  
  254. QUESTION: Routing - what is PROXY ARP used for?
  255.  
  256.    The Tunnel Master uses the 'ARP.EXE' program to add PROXY ARP entries at 
  257.    the TM location. PROXY ARP entries automatically updates the LAN routing 
  258.    of any LAN PC with information on how to reach the Tunnel Slaves.
  259.  
  260.    PROXY ARP has a history of being a source of many problems and you 
  261.    should always verify the ARP table, using the 'arp -a' command. 
  262.    
  263.    F/X suggests that you update your router with new routes to make sure 
  264.    packets for the Tunnel subnet is routed properly to the Tunnel Master.
  265.  
  266.    With some versions of TCP/IP the output window is likely to show 
  267.    ARP caused problems. These errors can be ignored and are very
  268.    likely to be triggered on only some versions of the TCP/IP stack.
  269.    Use 'arp -a' to verify your own PROXY ARP entries at any time.
  270.  
  271.  
  272.  
  273. QUESTION: How does two-way Dial-On-Demand work?
  274.  
  275.    In order for Tunnel/2 to provide two-way Dial-On-Demand, you must 
  276.    equip the Tunnel Master with one or more modems. TM uses these modems 
  277.    to quickly call the modem at the Slave PC, in order to trigger that 
  278.    (remote) dialer to dial the local ISP. 
  279.    
  280.    This requires the dialer at the Slave PC to support dialing at an 
  281.    incoming "RING". The InJoy dialer (also from F/X Communications)
  282.    can do that.
  283.  
  284.    When Dial-On-Demand is triggered by Slave activity, then it simply sends
  285.    out a packet on the IP stack and leaves it to the dialer to dial-out.
  286.  
  287.  
  288.  
  289. QUESTION: In what order should I start the software?
  290.  
  291.    Order shouldn't matter. However, if packets don't seem to take the 
  292.    right route, try this: Make at least one Internet connection with the
  293.    dialer before you bring up the Tunnel. If you have routing problems, 
  294.    be sure to try this cure.
  295.  
  296.  
  297.  
  298. QUESTION: Starting TS/TM gives message: "ACTION: TUNNEL UP", why?
  299.  
  300.    The message is caused by an auto-generated command, similar to using 
  301.    'settun /A'.
  302.  
  303.    The command causes the Tunnel to create the TCP/IP stack interface and 
  304.    routes. It does NOT mean that a tunnel connection is actually established.
  305.  
  306.  
  307.  
  308. QUESTION: But what if I already have a default route when I launch TS?
  309.  
  310.    Be sure NOT to have a default route when bringing up the Tunnel Slave.
  311.    TS.EXE will NOT automatically do this for you.
  312.  
  313.    If you use InJoy as your dialer, use the /D option to avoid having a
  314.    default route. /D is supported by InJoy version 1.1 and later.
  315.  
  316.  
  317.  
  318. QUESTION: Why does the Tunnel Slave create a default route?
  319.  
  320.    TS will create a default route and accordingly route all packets through 
  321.    the tunnel, to the Master.
  322.  
  323.    TS does give you a handle to avoid this. If you start the Slave with 
  324.    the /D parameter, then it won't create a default route. This allows
  325.    you to route your corporate traffic through the Tunnel and the 
  326.    remaining traffic directly through the dialer.
  327.  
  328.  
  329.  
  330. QUESTION: What platforms are supported?
  331.  
  332.    So far Tunnel/2 only runs on OS/2.
  333.  
  334.    F/X is actively seeking to provide Tunnel/2 on the Windows platform,
  335.    but so far we cannot commit to a release date for this project.
  336.  
  337.  
  338.  
  339. QUESTION: Can I connect Tunnel/2 clients to other Tunnel software?
  340.  
  341.    Standards for tunneling has been a moving target and none of the current
  342.    standards provide the functions that F/X is seeking to provide. 
  343.  
  344.    Remember, Tunnel/2 is supporting advanced features such as a two-way
  345.    dial-on-demand, real-time compression, DES encryption, filtering and
  346.    hardware independence.
  347.    
  348.    Accordingly, Tunnel/2 uses a proprietary protocol and can therefore
  349.    not connect to other tunnel types. However, by adding an OS/2 
  350.    gateway PC to the Master LAN, Tunnel/2 can easily coexist with 
  351.    other tunnel solutions.
  352.  
  353.    F/X is keeping an eye on the new standards as they appear and when
  354.    we find one that allows us to use it, we'll definitely support it.
  355.  
  356.  
  357. QUESTION: Is Tunnel/2 100% stable and ready for commercial use?
  358.  
  359.    Yes, Tunnel/2 is stable and ready for commercial use.
  360.  
  361.    Check out this interview with the Saskatchewan Wheat Pool (SWP). SWP is 
  362.    Canada's largest publicly traded agricultural co-operative. SWP now has 
  363.    annual total sales of more than $4.1 billion.
  364.  
  365.    Interviewed perform January, 1998 by ComputerWorld in Denmark.
  366.  
  367.    Q: How many locations are connected to the VPN now? How many will be 
  368.       (supposing that the project isn't completed yet)? 
  369.  
  370.    A: The number will go up over time, but we have about 300 stations 
  371.       right now. 
  372.  
  373.    Q: How does the cost of setting up an Internet-based VPN compare to 
  374.       leased lines and/or Frame Relay services? I suppose that it is 
  375.       cheaper, but how much? 
  376.  
  377.    A: Our VPN sites cost somewhere between $100 and $200 per month for 
  378.       sites which do not maintain TCPBEUI connections. Sites with TCPBEUI 
  379.       connections cost us $300-400 per month. Having the ability to filter 
  380.       NetBIOS keep-alive frames in a future version of Tunnel/2 will 
  381.       reduce our cost significantly. 
  382.  
  383.       We also use Frame Relay connections for many of our sites. Frame costs 
  384.       us about $1000 per month at each site. 
  385.  
  386.       With Tunnel/2 we can route IP to an entire subnet at each site. Sites 
  387.       have a Warp Server along with at least one Windows 95 machine which 
  388.       is used for office automation as well as at least one machine used 
  389.       for point of sale. I would guesstimate that we average 1.5 OA machines 
  390.       and 2.5 POS machines per site. 
  391.  
  392.       Whether frame or Tunnel/2, all sites have equivalent functionality. We 
  393.       use 33.6kbps modems to connect to our ISP and 56kbps DSUs at Frame 
  394.       Relay sites. The speed is similar, but frame is about 25% faster when 
  395.       transferring uncompressible data. 
  396.  
  397.    Q: As I understand it, security currently is based on encryption of data 
  398.       and a password scheme. Are you planning to add additional security 
  399.       measures later? 
  400.  
  401.    A: No. 
  402.  
  403.    Q: Would you recommend Internet-based VPN's as a WAN solution for other
  404.       companies? Are there special factors that should be taken into 
  405.       account when considering the technology? Was it easier or harder to 
  406.       implement than you had imagined? 
  407.  
  408.    A: I would definitely recommend VPN technology. It provides an important 
  409.       link to sites which would not be economically connected with any other 
  410.       way. Situations which involve long periods of inactivity really 
  411.       perform well with the VPN. For us, the speed is comparable to 56k 
  412.       Frame Relay. I would consider reliability to be similar to frame as
  413.       well, but we have a particularly good ISP. 
  414.  
  415.       At some sites, we have a permanent Internet connection. With these 
  416.       sites, we use Tunnel/2 (without InJoy) to provide a permanent 
  417.       connection into our Intranet. It works very well and provides the 
  418.       security and connectivity we need. 
  419.  
  420.       As long as some form of Internet connectivity exists, Tunnel/2 will 
  421.       provide full intranet connectivity. In addition, it provides a way 
  422.       to assign permanent addresses to given machines. Even a roaming lap 
  423.       top could have a static IP address regardless of the ISP being 
  424.       connected to. We consider Tunnel/2 to be a key component in our global
  425.       connectivity strategy. 
  426.  
  427.       Tunnel/2 demands a decent understanding of IP routing, although I'm 
  428.       sure that future versions of the product will make this less so. 
  429.  
  430.  
  431.  
  432. QUESTION: Does Tunnel/2 support the OS/2 utilities: IPTRACE and IPFORMAT?
  433.  
  434.    Yes.
  435.  
  436.  
  437.  
  438. QUESTION: Is Tunnel/2 year 2000 compliant?
  439.  
  440.    Yes.
  441.  
  442.  
  443.  
  444.  
  445.  
  446.  
  447. ████████████████████████████████████████████████████████████████████████████
  448.  
  449.  
  450.      Copyright (c) 1998, F/X Communications. All rights reserved.
  451.  
  452.  
  453. ████████████████████████████████████████████████████████████████████████████
  454.  
  455.