Re: IPsec + NAT + mehrere Tunnelendpunkte

Juergen P. Meier wrote:

> Ralf Gross <usenet@xxxxxxxxxxxx>:
>> Cisco VPN Client->U.S Robotics Router 9106 (NAT)->LAN->DSL Router
>> (NAT)->Internet->...->VPN Endpunkt
>
> Ist der VPN-Endpunkt ein Cisco Concentrator oder eine PIX? Beide
> Produkte muessen die Verwendung von NAT-T explizit per
> Konfigurationsoption eingeschaltet haben, sonst verweigern sie das.

Gut, das ist klar. Welches Produkt es ist, habe ich bisher noch nicht
herausgefunden. Dar Tag ist noch jung...

>> Kollegen einer Zulieferfirma sind gerade in einem fremden Netz, dort
>> wurde ihnen ein Router zur Verfügnung gestellt, mit dem sie über DSL
>> Verbindung zu ihrem Firmennetz per VPN aufbauen können.
>>
>> Dazu verwenden sie den Cisco VPN Client (IPsec über UDP Port 500). Das
>
> Das Glaube Ich Nicht, Tim. UDP/500 ist IKE, und mir ist keine
> IPSEC-Implementierung bekannt, die UDP-Tunneling der ESP/AH PAkete ueber
> Port 500 macht. Cisco verwendet zum Bleistift Port 2000 dafuer.

Das würde aber doch genau das Problem erklären, daß nur eine VPN
Verbindung gleichzeitig möglich ist.

Im Cisco VPN Client ist NAT-T jedenfalls aktiviert, zumindest laut Doku.

| Configuring NAT Traversal for the VPN Client
| ...
| Step 4 Click the IPSec over UDP (NAT/PAT) radio button.

>> funktioniert soweit auch, nur gibt es nun einen Mitarbeiter, der einen
>> weiteren IPsec Tunnel zu einem anderen Endpunkt aufbauen möchte.
>> Sobald er seinen Client startet, wird die erste Verbindung terminiert.
>
> Dieser USR^W3Com NAT-Router bei ihm, wie genau sieht die NAT
> Implementierung darin aus? Und wie sieht die NAT-Implementierung auf dem
> DSL-Router aus? Und warum macht er dort ueberhaupt doppelt NAT?

Keine Ahnung, das Gerät ist für uns nur eine Blackbox ohne Zugriff
darauf. Es wurde vorher nur sichergestellt, daß keine Filterregeln darauf
existieren. Da wir hier nur Gäste sind, weiß ich auch nicht warum das
LAN hier so strukturiert ist. Ander Länder...

> Dennoch: Im UDP oder TCP-Tunnel Modus des Cisco VPN Clients sind beide
> ISPSEC SAs (die Tunnel) zwei unterschiedliche und von einem
> Standardkonformen NAT-Geraet sauber auseinanderhaltbare UDP bzw. TCP
> Verbindungen. Wenn also der Rechner gleichzeitig ueber diese beiden
> NAT-Boxen mit zwei verschiedenen Webservern reden kann, und mit zwei
> verschiedenen (z.B. Radio) Streamingservern oder Spieleservern (Quake3
> o.ae.) fehlerfrei kommunizieren kann, dann sollte das auch mit VPN
> klappen.

Wenn die Gegenstelle auch für NAT-T konfiguriert ist...

> Es Sei denn, eine der NAT-boxen kommt nicht mit IKE zurecht, dass der
> Client jweils mit gleichem Local-Port (UDP/500) mit dem jeweiligen
> Server spricht. IKE wird regelmaessig zum Neuaushandeln der Session-Keys
> des IPSEC Tunnels verwendet.

Leider wieder eine Unbekannte.

>> IPsec über NAT ist ja immer böse, zumindest habe ich das bisher immer
>> gelesen. Kann mir jemand das Phänomen erklären? Ich habe auch schon
>
> Ja. NAT stellt konzeptionell einen der Angriffe auf IPSEC dar, gegen das
> IPSEC-Design den Anwender schuetzen soll.

Ja, Man in the Middle Angriff.

>> Netze gesehen, bei denen mehrere unterschiedliche IPsec Tunnel über
>> NAT funktioniert haben.
>
> Tunneling, teilweise unter Verzicht auf den Manipulations-Schutz von
> IPSEC, oder funktionierende Authentifikation des Geraetes, das "hinter"
> dem NAT NE steht.
>
>> Die Admins dort vor Ort sprechen nur gebrochen Englisch und die Admins
>> des VPN Endpunktes wissen auch nicht wirklich bescheid.
>
> Dann sollen die jemanden das machen lassen, der sich damit auskennt.

Das ist hier gerade etwas schwierig, beide Seiten sagen natürlich, daß
bei ihnen alles korrekt konfiguriert ist.

Ralf


.