Для техже целей, что и ARP в IPv4. Связь между канальной и сетевой адресацией, это плохо (http://www.securitylab.ru/contest/264659.php). Адрес же может выдаваться по DHCP. Тем паче в современных ОС реализован rfc3041, включающий в том числе рандомизацию interface identifier.
Самый простой вариант - поднять PPTP-VPN на базе любого маршрутизатора, или Windows (http://www.smart-soft.ru/?page=vpnser) или Linux (http://www.opennet.ru/docs/RUS/vpn_solution/). Достоинством PPTP является меньшая головная боль с подключением клиентов (не нужно управлять сертификатами, или общими ключами, как в IPSec), но в этом случае стойкость зависит от пароля пользователя. Другой вариант, более сложный - IPSec.
Есть еще OPenVPN - однако он требует установки программы на клиента, в то время как PPTP и IPSec сейчас поддерживается практически всеми системами (Windows, Windows Mobile, Linux, Symbian)
Дальнейшее развитие SSL VPN получили в так называемых WEB VPN. Данный тип VPN позволяет организовывать защищенное соединение без предварительной настройки клиентских рабочих мест. Как правило, клиентская часть WEB VPN представляет собой компонент ActiveX или приложение Java, выполняющее функции сервера посредника между локальными приложениями и шлюзом VPN и устанавливаемое на компьютер пользователя при перовом обращении к шлюзу.
....
Ограничения WEB VPN довольно очевидны – далеко не любое приложение может работать в подобном режиме. С другой стороны, наглядны и достоинства – отсутствие необходимости в настройке клиента, работа практически через любое соединение с Internet, независимость от рабочего места. Из решений с открытым исходным кодом наиболее функциональным на момент написания книги являлся WEB VPN шлюз SSLExplorer (http://sourceforge.net/projects/sslexplorer/). Сервер работает под управлением операционных систем Linux и Windows, мобильная клиентская часть использует Java. Для аутентификации клиента могут быть использованы пароли (в том числе и совместно со службой каталога Active Directory), цифровые сертификаты или альтернативные методы аутентификации (вопрос/ответ, одноразовые пароли). В базовой поставке сервер обеспечивает функции защищенного HTTP-Proxy, организует доступ к файлам по CIFS/SMB через Web-браузер или функции WebDAV проводника Windows, позволяет организовывать защищенные туннели для различных приложений и поддерживает работу клиента серверов терминалов Microsoft и Citrix ICA.
Коллеги! На портале SecurityLab в ближайшее время будут запущены экпертные панели, где будет существовать возможность задать вопросы ведущим экпертам отрасли. И получить ответы, что немаловажно! В связи с этим, хотелось бы узнать ваше мнение по тем темам, которые интересуют вас в первую очередь.
Подобные действия (передача пароля в открытом виде по электронной почте) могут входить в противоречие с политикой безопасности (и со здравым смыслом). На вашем месте я бы выполнил подобные требования только по письменному распоряжению непосредственного руководителя и выше. В обратном случае вы берете на себя отвественность за все несанкционированные действия, которые выполнят администратор (или кто-то еще) от вашего имени. В случае наличия письменного приказа - отвественность перекладывается на лицо, издавшее распоряжение. Администратор же (в общем случае) не являетсяя вашим руководителем и не имеет права подобные требования выдвигать.
Если Windows не находит имя в DNS или WINS, она использует для разрешения имен широковещательные запросы NetBIOS. Кроме того, могут использоваться файлы hosts и lmhosts. В вышем случае налицо какая-то проблема с DNS. Возможно вы указываете не FQDN (host.dom.com) а имя узла (host) при чем опция Append parent suffixes не задействованна.
.если такой,то какие секретные ключи должны быть?одинаковыми у обоих серверов?
Да, одинаковые. Это общие ключи (PSK) для протокола IPSec, которые используются для взаимной аутентификации устройств и генерации сеансовых ключей шифрования (хотя при генерации ключей они не участвуют, там чистый Диффи-Хелман).
Цитата
и зачем они нужны если и так применяется аутентификация по учетке
Аутентификция "по учетке" используется протоколом L2TP который работает "поверх" IPSec. Поскольку сам L2TP не обеспчеивает конфиденциальность (шифрование) передаваемых данных, а выполняет только функции протоколирования, обычно используется связка IPSec+L2TP. Но IPSec в сценарии Site-to-Site вполне может использоваться самостоятельно, без L2TP. И трафика будет есть меньше.
Если у ISA в качестве DNS-сервера в настройках TCP/IP указан контроллер домена, и 53й порт на исе недоступен из интернет (чистый кэширующий сервер) - то нет проблем. Если на ISA есть зоны и она доступна из Internet - то другое дело.