Re: IPsec over NAT trotz ESP

From: Juergen Ilse <juergen@xxxxxxxxxxxxxxxxxxxx>
Date: 04 Dec 2010 02:42:23 GMT

Hallo,

Omega42 <Omega42@xxxxxxx> wrote:

Für eine Fernwartungsstrecke haben wir einen cisco client mit
Profildatei vom Kunden zur Verfügug gestellt berkommen.
Die Fernwartung funktioniert über einen AVM Router, nicht aber über
underen Bintec.

Ist denn die VPN-Gegenstelle ueberhaupt so konfiguriert, dass sie
ggfs. auch "Nat-Traversal" macht? Der Cisco-VPN-Client versucht
darueberhinaus auch nocht selbst festzustellen, ob NAT (oder besser
"PAT": Port AdressTranslation) im Spiel ist und fordert nur dann
eine NAT-T-Session an ...

Im Probil ist IPsec over UDP eingestewllt, was eigentlich die ESP pakete
über udp/4500 tunneln sollte

ssiert AFAIK beim Cisco-VPN-Client nicht standardmaessig, sondern nur

dann, wenn es der VPN-Client "fuer notwendig haelt". Falls du fuer IKE
(UDP/500) statische Portmappings im Bintec in irgend einer Weise einge-
stellt haben solltest, nimm die mal raus.

- trotzden sehe ich im log eingehende ESP Pakete, die vom Bintec für
NAT abgelent werden - aber keine udp/4500.

Siehe oben: Die "Ueberpruefung, ob NAT-T erforderlich ist" im VPN-Client
kommt bei dir vermutlich zu dem Ergebnis "NAT-T nicht notwendig" ...

Nun meine Frage: ist es überhaupt sinvoll ESP zu NATen? Soweit ich weiß
stimmen dann die checksums nicht mehr - scheint aber über den AVM
trotzdem zu funktionieren

Das Problem dass die Pakete nicht sauber durch NAT durchgehen koennen
(weil jede Aenderung in den IP-Headern als Security Violation angesehen
wird) hast du bei AH, nicht aber bei ESP (weil bei "Authenticated Header"
eben die Header-Daten ebenfalls cryptographisch vor unerlaubter Veraen-
derung geschuetzt werden, bei ESP dagegen nicht).

Trotzdem kann ESP zumindest bei PAT nicht wirklich sinnvoll verwendet
werden (weil es bei diesem Protokoll eben keine Ports gibt). Man koennte
(und einige NAT-Devices tun so etwas) eine "Heuristik" verwenden (der
"inside-Host" der zulaesst IKE gequatscht hat, bekommt auch alle folgenden
ESP-Pakete zugeschoben), aber das wuerde z.B. bei mehreren IPSEC-Sessions
ueber die selbe Leitung vermutlich schief gehen ...

Tschuess,
Juergen Ilse (juergen@xxxxxxxxxxxxxxxxxxxx)
--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...
.

References:
- IPsec over NAT trotz ESP
  - From: Omega42

Prev by Date: Re: IPsec over NAT trotz ESP
Next by Date: 3ds max house filetype pdf | 3ds max how to edit envelopes | 3ds max how to freeze rotations
Previous by thread: Re: IPsec over NAT trotz ESP
Next by thread: 3ds max house filetype pdf | 3ds max how to edit envelopes | 3ds max how to freeze rotations
Index(es):
- Date
- Thread

Relevant Pages

Re: Order significance for PIX nat / global statements?
... >> Studying PIX firewall configuration I'm confused by some contradictions ... > addition to the two nat statements shown above. ... >> PAT address pool? ... > The PIX will NAT first, then PAT. ...
(comp.security.firewalls)
Re: [fw-wiz] NAT order help
... internal addresses all translating out to one IP then all you have to ... do a static PAT. ... Otherwise you could just to a regular static NAT. ...
(Firewall-Wizards)
Re: Dynamic and static NAT
... PAT so that internal hosts can get out but I want to be able to ssh ... Here is an example config. ... ip nat inside source static udp 10.88.3.130 64328 ... "The Libel Terrorism Protection Act". ...
(comp.dcom.sys.cisco)
Re: PIX and Linksys Quick VPN Question
... except from my workplace that is behind a PIX firewall. ... What ports ... Not compatible with PAT or Network Address Translation ... Requires that NAT-T be configured; ...
(comp.dcom.sys.cisco)
Re: [fw-wiz] PIX to ASA VPN using PAT
... Use the IP address out of your NAT or PAT fur you crypto map. ... description the devices on end of tunnel ... My side of the network is NAT'd, so I want to allow one specific host from my inside network to get out out through the tunnel to their network. ...
(Firewall-Wizards)