Re: IPsec + NAT + mehrere Tunnelendpunkte
- From: "Juergen P. Meier" <nospam-2005@xxxxxxxx>
- Date: Fri, 30 Sep 2005 05:15:59 +0000 (UTC)
Ralf Gross <usenet@xxxxxxxxxxxx>:
> Cisco VPN Client->U.S Robotics Router 9106 (NAT)->LAN->DSL Router
> (NAT)->Internet->...->VPN Endpunkt
Ist der VPN-Endpunkt ein Cisco Concentrator oder eine PIX?
Beide Produkte muessen die Verwendung von NAT-T explizit per
Konfigurationsoption eingeschaltet haben, sonst verweigern sie das.
> Kollegen einer Zulieferfirma sind gerade in einem fremden Netz, dort wurde
> ihnen ein Router zur Verfügnung gestellt, mit dem sie über DSL
> Verbindung zu ihrem Firmennetz per VPN aufbauen können.
>
> Dazu verwenden sie den Cisco VPN Client (IPsec über UDP Port 500). Das
Das Glaube Ich Nicht, Tim. UDP/500 ist IKE, und mir ist keine
IPSEC-Implementierung bekannt, die UDP-Tunneling der ESP/AH PAkete
ueber Port 500 macht. Cisco verwendet zum Bleistift Port 2000 dafuer.
> funktioniert soweit auch, nur gibt es nun einen Mitarbeiter, der einen
> weiteren IPsec Tunnel zu einem anderen Endpunkt aufbauen möchte. Sobald
> er seinen Client startet, wird die erste Verbindung terminiert.
Dieser USR^W3Com NAT-Router bei ihm, wie genau sieht die NAT
Implementierung darin aus? Und wie sieht die NAT-Implementierung auf
dem DSL-Router aus? Und warum macht er dort ueberhaupt doppelt NAT?
Dennoch: Im UDP oder TCP-Tunnel Modus des Cisco VPN Clients sind beide
ISPSEC SAs (die Tunnel) zwei unterschiedliche und von einem
Standardkonformen NAT-Geraet sauber auseinanderhaltbare UDP bzw. TCP
Verbindungen. Wenn also der Rechner gleichzeitig ueber diese beiden
NAT-Boxen mit zwei verschiedenen Webservern reden kann, und mit zwei
verschiedenen (z.B. Radio) Streamingservern oder Spieleservern
(Quake3 o.ae.) fehlerfrei kommunizieren kann, dann sollte das auch
mit VPN klappen.
Es Sei denn, eine der NAT-boxen kommt nicht mit IKE zurecht, dass der
Client jweils mit gleichem Local-Port (UDP/500) mit dem jeweiligen
Server spricht. IKE wird regelmaessig zum Neuaushandeln der
Session-Keys des IPSEC Tunnels verwendet.
> IPsec über NAT ist ja immer böse, zumindest habe ich das bisher immer
> gelesen. Kann mir jemand das Phänomen erklären? Ich habe auch schon
Ja. NAT stellt konzeptionell einen der Angriffe auf IPSEC dar, gegen
das IPSEC-Design den Anwender schuetzen soll.
> Netze gesehen, bei denen mehrere unterschiedliche IPsec Tunnel über NAT
> funktioniert haben.
Tunneling, teilweise unter Verzicht auf den Manipulations-Schutz von IPSEC,
oder funktionierende Authentifikation des Geraetes, das "hinter" dem NAT
NE steht.
> Die Admins dort vor Ort sprechen nur gebrochen Englisch und die Admins des
> VPN Endpunktes wissen auch nicht wirklich bescheid.
Dann sollen die jemanden das machen lassen, der sich damit auskennt.
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
.
- Follow-Ups:
- Re: IPsec + NAT + mehrere Tunnelendpunkte
- From: Ralf Gross
- Re: IPsec + NAT + mehrere Tunnelendpunkte
- References:
- IPsec + NAT + mehrere Tunnelendpunkte
- From: Ralf Gross
- IPsec + NAT + mehrere Tunnelendpunkte
- Prev by Date: Re: IPsec + NAT + mehrere Tunnelendpunkte
- Next by Date: Re: IPsec + NAT + mehrere Tunnelendpunkte
- Previous by thread: Re: IPsec + NAT + mehrere Tunnelendpunkte
- Next by thread: Re: IPsec + NAT + mehrere Tunnelendpunkte
- Index(es):
Relevant Pages
|
