Re: Verständnisfrage IPSec; NAT; NAT-T

---

• From: "Juergen P. Meier" <nospam-2006@xxxxxxxx>
• Date: Thu, 20 Jul 2006 04:46:41 +0000 (UTC)

---

Christoph Hanle <ng@xxxxxxxxxxx>:

Thomas Wildgruber schrieb:

ich wühle mich gerade durch eine Dokumetation bezgl. IPSec Passthrough
durch NAT Devices. Der Trick bei NAT Traversal scheint ja zu sein, dass die
komplette verschlüsselte Kommunikation in ein UDP Paket verpackt wird, um
den auf dem Datenkanal befindlichen NAT Geräten die Möglichkeit zur
Manipulation der Paketinformationen zu geben, ohne die Integrität der
verschlüsselten Kommunikation zu gefährden.

Jetzt möchte einer unserer Clients direkt, also als Iniitiator der IPSec
Verbindung eine gesicherte Verbindung zu einem entfernten VPN Gateway
aufbauen. Laut Dokumentation muss ich aber unserem NAT Device ein
Portforwarding bezgl. Port 500 UDP auf diesen, unseren Client einrichten.

Leider unterscheiden sich da häufig die Beschreibungen und
Namensgebungen von Hersteller zu Hersteller.
Wenn ich mich nicht ganz stark täusche brauchst du 2 Regeln für IPsec:
1. LAN (oder ClientIP) 500UDP allow WAN 500UDP

NAT-T Wird ueber IKE ausgehandelt, daher musst du zuallererst einmal
IKE Verbindung ermoeglichen (IKE: Verbindungslos per UDP mit Quell und
Zielport 500).

2. LAN (oder ClientIP) allow WAN GRE

Der eigentliche IPSEC tunnel wird dann nach Standard ueber UDP Port
4500 abgewickelt.

GRE hingegen hat mit IPSEC ueberhaupt nichts zu tun.

Portforwarding wird imho nicht benötigt und ggf. arbeitet der Client mit
Port 500 TCP.

Es gibt IPSEC Implementierungen, die auch IPSEC-ueber-TCP koennen, und
dabei sogar IKE ueber TCP (mit Port 500) sprechen.

Die IPSEC-Verbindung laeuft dann aber auch dort nicht uber Port 500.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

.

---

• References:
  • Verständnisfrage IPSec; NAT; NAT-T
    • From: Thomas Wildgruber
  • Re: Verständnisfrage IPSec; NAT; NAT-T
    • From: Christoph Hanle

• Prev by Date: Re: Ersatz für Zone Alarm
• Next by Date: Re: Ersatz für Zone Alarm
• Previous by thread: Re: Verständnisfrage IPSec; NAT; NAT-T
• Next by thread: Re: Verständnisfrage IPSec; NAT; NAT-T
• Index(es):
  • Date
  • Thread

---

Relevant Pages UDP DoS attack in Win2k via IKE ... This memo should clarify the issue discovered with the UDP DOS ... Sending of UDP traffic to port 500 UDP will cause windows to ... attacked host is an IPSec gateway). ... (Bugtraq) Re: VPN through NAT? ... IPSEC NAT traversal uses UDP 4500? ... I belive 4500 is Cisco's way of doing it, but not all IPSEC vpn clients are the same. ... (freebsd-isp) Re: ISA and Checkpoint NG VPN Client ... SecuRemote & SecureClient specific connections ... IPSEC and IKE ... UDP 2746 or another port ... (microsoft.public.isaserver) Re: VPN Passthrough with iptables ... >how do I configure the Firewall/NAT box so that it will do IPSec VPN ... >commodity SOHO routers support ``VPN Passthrough'' as part of their NAT ... >simply the SNAT but leaving the source port alone) and use DNAT to pass ... (comp.security.firewalls) Re: =?ISO-8859-1?Q?Verst=E4ndnisfrage_IPSec=3B_NAT=3B_NAT-?= =?ISO-8859-1?Q?T?= ... IPSec Passthrough ... Der Trick bei NAT Traversal scheint ja zu sein, ... komplette verschlüsselte Kommunikation in ein UDP Paket verpackt wird, ... Port 500 UDP auf diesen, ... (de.comp.security.firewall)

---

• Security
• UNIX
• Linux
• Coding
• Usenet

• Archive
• About
• Privacy
• Search
• Imprint

newsgroups.derkeiler.com  > Archive  > De  > de.comp.security.firewall  > 2006-08