[win2k +BSD] tunneltjes en domeintjes

zal eerst de situatie beschrijven waarna ik graag een aantal idee-en hoor of opmerkingen, ik dacht misschien dat de mensen hier me een idee-en of puntjes of iets in die geest kunnene geven. btw ik vraag niet om de oplossing

maar goed ik en een maat van mij willen het volgende doen:
2 win2k domains domain1 & domain2 aan elkaar koppelen we hebben beide een volledig 2k netwerk inclusief clients en DC's maar aan de port staat aan beide kanten een BSD router.
wat er gedaan wordt is:
* BSD tunnel naar andere BSD bak
* win2k domijntjes via trust met elkaar koppelen

wat ik verwacht zijn de volgende probs:
* (2k)dhcp servers gaan over de tunnel staan te blerhen.(filter?)
* regen van foutmeldingen omdat de tunnel niet constant aan staat

maar goed als het werkt heeft het wel de volgende voordelen:
* bij elkaar inloggen m.b.v. smartcards
* gedeelde "standaard" software (gepushed over het netwerk)

nu ja waarom is dit nodig ? nu een bedrijfs netwerk kan je moeilijk kan "rotzooien" dit lekker leerzaam is

btw mijn ISP heeft een Dynamic IP (om de 2 a 3 maanden wisseld het maar ja scriptjes zullen het wel verhelpen )
en we hebben een data limiet dus daarom moet de tunnel allen op commando er zijn --> script

maar goed waarom in PNS ? omdat dit geen "simpel" netwerk is ..

maar goed zou het veel dataverkeer kosten om bv encrypted tunnel te graven ?

als iemand nog vragen heeft of idee-en .. laat ze horen. frisse nieuwe idee-en zijn altijd welkom

Op maandag 24 juni 2002 10:28 schreef pjnef het volgende:
Op zich is het idee geen probleem. Ik heb zelf op dit moment weinig ervaring met w2k domeinen, maar op NT werkte dit zonder al teveel problemen tussen twee servers die op gescheiden subnetten staan.
Oh ja, je maat moet wel een andere ip-reeks hebben dan jouw reeks,

check is al reeds geimplemteerd althans niet zelfde IP reeks wel zelfde subnet, maar ik neem aan dat je dat bedoelt? met subnet ?

anders wordt het tunnelen wat lastiger, en moet je met double-nat gaan werken.

hmm double nat als ik dezelfde IP reeks heb?

De DHCP servers zullen elkaar niet zo'n last gaan geven als je een IPSEC tunnel maakt. Als je een L2TP tunnel maakt, dan kan je die met filters configureren (in principe wordt met L2TP meerdere layer-3 protocollen zoals IP, IPX, AppleTalk, etc getunneled, en wordt het andere netwerk "compleet" zichtbaar. Dit gaat natuurlijk meer verkeer genereren).

hmm ik had hier nog niet bij stil gestaan,

Een IPSec tunnel werkt denk ik het makkelijkst, omdat je daar alleen IP verkeer overheen gooit. Als je daarna de compu's bij elkaar wil zien, zal je ook ehm, iets met WINS moeten doen. Zal daar niet teveel van vertellen.. ;-)

thx

Tsja, de dynamic ip-address is niet zo'n probleem. Je kan met IPSec tunnels eventueel ook met een eigen CA gaan werken en aan beide bsd endpoints een certificate geven, en op basis van het certificate tunnelen ipv een shared key.

zoiezo wil ik met eigen CA's werken inverband met de smartcards

maar goed het is een leuk leer stuk?

niet de stukjes wel het geheel ..

[quoteJa, het is iig een feature die in Cisco apparaten zit. Stel, je interne netwerk is 192.168.2.0 en je wilt een VPN met 192.168.2.0. Je vertelt dan de firewall/router dat je een tunnel wilt opzetten voor bestemming 10.168.2.0 (nat1).
Hierdoor "ziet" je eigen compu dat het een vreemd ip-adres is, en dus wordt het naar de default gw gestuurd. De firewall, doet het echter nog een keer "terugnatten" voordat het echt de tunnel ingestuurd wordt. Dus vandaar dubbel nat..
En datzelfde doe je aan de andere kant ook, en je kan 2 dezelfde subnetten met elkaar laten praten.
[/quote]
hmm das zeker ff intressant zo had ik het nog niet bekeken ..

oke tis gefixed .. easy maar toch ook wel ff lastig ..

bsd:
met giftunnels naar de 2 sites van de anderen een tunnen gegraven .. na wat errors van interface aanzetten .. werkte dat maar ik kon nog niet pingen de firewall loste dat op .. door daar wat meer aan te zetten ik laat de config 1 zijdig hieronder zien ... aan de andere kant het 1 en ander omdraaien

voor FreeBSD
-----------------------------------------------
#!/bin/sh
gifconfig gif0 inet 62.45.x.x 62.45.y.y
ifconfig gif0 192.168.a.a 192.168.b.b netmask 255.255.255.0
route -n add -net 192.168.b.x -iface gif0 192.168.a.x -netmask 255.255.255.0
#firewall rules
ipfw add pass udp from any to any 500
ipfw add pass tcp from any to any 500
ipfw add pass esp from any to any
#ipsec
setkey -FP
setkey -F
setkey -c << EOF
spdadd 192.168.a.a/24 192.168.b.b/24 any -P out
ipsec esp/transport/62.45.x.x-62.45.y.y/use;
spdadd 192.168.a.a/24 192.168.b.b/24 any -P in
ipsec esp/transport/62.45.x.x-62.45.y.y/use;
--------------------------------------------------------------------

als dit werkt kan je elkaar pingen op IP in elkaars netwerk ..

op win 2k zorg je dat je WINS en DNS aan elkaar rijgt .... dan kan je vervolgens trusts opzetten ..

tegen gekomen problemen een win2k dc mag niet multihomed zijn dus meerdere netwerkkaarten ..
RRas is dus niet verstandig op een AD server met WINS te installeen

het voordeel van het op deze manier doen (er draait helaas/gelukkig geen ipsec op deze manier kost het ons geen extra data verkeer wat de provider helaas berekend . het is zeer rap .. ..
1) we hebben nu een netwerk aan elkaar zonder broadcasts (RRAS bak in elk domain zou het oplossen)
2) we draaien nu een nat via internet voor internet spul maar ook NAT voor communicatie tussen de domains onderling .. voordeel op deze manier is dat het zeer snel is ..
3) gamen/filesend via messenger werken weer (bsd verhinderde dat)

het werkt zeer flex en is een leuke aanrader

klopt route -n op de bsd bak & de extra firewall rules waren een great problem fixer

das leuk maar wat zouden we buiten/binnen moeten houden in het netwerk ?

overgens een feit alle "gateways" zijn bsd bakken met dezelfde BSD versie en zelfde config het enige wat verschilt per bak is de hardware(lees: nic , proc, ram, mobo en erhm .. HD ? kernel is op NIC gecompiled de rest is het zelfde dus ...
realtek,intel en 3com nick's (pikant detail .. in elke bak zitten 2 nic's van zelfde makelij maar dat boeit niet.

gifX configen is ff lees werk maar ach bsd is best wel makkelijk om te configen. je moet het alleen door hebben

IPSEC gebruiken we niet dus dan houdt het snel op echter voor beveiliging komt er een script wat onze dynamische IP's wijzigt bij verandering en deze meteen doorvoert en voor de rest de security gaat regelen dit is op het moment namelijk nog een test fase en ik zoek nog dingen uit zoals file-resieve mogelijkheden via bsd en poort voorwarding voor onze soon to be CITRIX servers ..

bedankt overgens want elke hulp c.q aanwijzing is er 1