VPN, nat-traversal

[hegl 10]

Hallo zusammen,

 

bin gerade auf den Befehl nat-traversal gestossen.

Ich hatte das Problem, dass ich als HomeOfficeUser über einen DSL-Router mit meinem IP-Sec-Client eine Verbindung zu dem Firmen-VPN-Gateway (PIX 500er Series) aufbauen und die freigegeben Ressourcen nutzen kann, mit dem gleichen Rechner hinter einer anderen PIX zwar die VPN-Verbindung zu Stande kam, ich aber auf keine Ressource zugreifen konnte. Nach Konfiguration von nat-traversal auf dem VPN-Gateway läuft dies jetzt auch.

Durch googeln habe ich einiges über den Befehl rausbekommen, klar ist mir aber immer noch nicht, warum es hinter einem "Standard-DSL-Router" ohne nat-traversal funktioniert, hinter einer anderen Firewall - hier auch eine PIX - eben nur mit dem Befehl.

Nach meinem Verständnis mache ich sowohl über den DSL-Router, als auch über die PIX natting, da ich hinter beiden private Netze habe. Offensichtlich scheint es da aber doch einen Unterschied zu geben - welchen???

[niedax 10]

Hallo in die Runde,

 

ich schliesse mich mal der Frage von hegl an, da ich gerade eine ähnliche Frage zu den Themen VPN-Client-Software, NAT-Traversal und VPN-Passthrough stellen wollte.

Folgende Situation: User sollen sich per CISCO VPN-Client-SW auf einem Router mit EazyVPN-Server einwählen können. User sind sowohl per ISDN und CBC im Internet eingewählt, als auch per DSL hinter einem Router, der NATet.

 

Zuerst mal zur Begriffsklärung:

 

- VPN-Passthrough

Router unterstützt max. eine Verbindung; Portforwarding auf diesen einen Client muss aktiviert sein; Auf welchen Ports läuft die Kommunikation ab; ESP und ISAKMP-Pakete werden genatet/gepatet mit der einen Clientadresse ????

 

- NAT-Traversal

Es wird automatisch erkannt, ob alle beteligten Geräte NAT-T unterstützen durch NAT-T-Discovery-Pakete; ESP-Pakete werden in UDP gekapselt, daher mehrere Clientverbindungen möglich; Kommunikation immer von Port 4500 auf 4500 ????

 

Ebenfalls unklar sind mir die unterschiedlichen Einstellungen im CISCO-VPN-Client. Ich habe mal alle Einstellungen durchprobiert und Pakete mitgesnifft:

 

- Ohne Transparent Tunneling

UDP > 1024 auf 62515 (was ist das für ein spezieller Port?)

UDP 500 auf 500 ISAKMP

UDP 62515 auf 62515

Nur mit dieser Einstellung funktionierten mehrere gleichzeitige Verbindungen durch einen NAT-T-fähigen Router zum VPN-GW

 

- Transparent-Tunneling über UDP

alles wird in UDP gepackt

UDP > 1024 auf 62515

UDP 500 auf 500 ISAKMP

UDP 4500 auf 4500 (hier funktioniert dann anscheinend das NAT-Traversal)

 

- Transparent Tunneling über TCP (10000)

mehere UDP-Verbindungen von >1024 auf 62515

aber keine einige Anfrage an Port 10000???

 

Mir ist es nicht klar, wieso Methode 1 funktioniert hat und Methode 2 und 3 nicht.

Vielleicht kann ja jemand die Einstellungen etwas Erläutern?

Hoffe, dass liest überhaupt noch jemand ;-)

Danke.

 

Stefan

[tom12 10]

klar ist mir aber immer noch nicht, warum es hinter einem "Standard-DSL-Router" ohne nat-traversal funktioniert, hinter einer anderen Firewall - hier auch eine PIX - eben nur mit dem Befehl.

 

Ich würde sage, dass der "Standard-DSL" Router NAT-Traversal unterstützt....

 

Grüsse

Thomas

[hegl 10]

Ich würde sage, dass der "Standard-DSL" Router NAT-Traversal unterstützt....

 

Grüsse

Thomas

 

Hi Thomas,

 

die PIX unterstützt sehr wohl nat-traversal, meine Frage geht dahin, warum ich auf der Remote-PIX den Befehl eintragen muss, wenn ich vorher auch durch eine PIX ins Netz gehe. Es sieht so aus, als wäre das nat eines Standrad-DSL-Routers anders als das einer PIX

 

Gruß und Danke

Helmut

[tom12 10]

Hi,

 

irgendwie verstehe ich nicht ganz:

 

Du hast in der zentrale eine PIX.

Du hast eine Aussenstelle (HOmeuser), wo vorher ein "Standard-DSL-Router" war, welcher nun durch eine PIX ersetzt wurde; auf welcher NAT-traversal konfiguriert werden muss, damit alles funktioniert.

Vorher hingegen (mit den "Standard-Router) ging alles ohne Konfiguration..

 

Ist dies richtig so??

 

Falls ja, wiederhole ich die Antwort von vorher!

 

..ansonsten stehe ich wohl auf der Leitung heute.. :)

 

Grüsse

Thomas

[hegl 10]

Hi Thomas,

 

Du hast in der Tat was falsch verstanden, das nat-traversal wird auf der zentralen PIX konfiguriert und nicht auf der, die den DSL-Router ersetzt!

 

Gruß

Helmut

[tom12 10]

Hi,

 

...aha...hab keine Ahnung. Meines Wissens brauchst du immer NAT-traversal wenn irgendwo auf dem "Weg" ein NAT-Device ist..

 

Keine Ahnung wieso dies vorher klappte..

 

 

Grüsse

[Wurstbläser 10]

so ist das Prinzip: NAT bringt durch die neuen Source/Destination Addressen die Authentifizierungfunkton von ESP oder AH durcheinander: der Hash stimmt nicht mehr - da sich der Header geändert hat, dessen Orginalität ja mit Authentisiert werden sollte.

 

Sobald also NAT auf einer VPN Strecke liegt müssen die ESP oder AH Packete zusätzlich in UDP oder TCP Packete gekapselt werden, deren Adressen oder Ports werden dann nicht mehr "gehashed" und können so munter übersetzt -> "genattet" werden. Man kann entweder eine UDP oder TCP Kapselung fest konfigurieren oder auf die automatische Entdeckung mit NAT-T setzen.

[tom12 10]

Achtung:

AH klappt mit NAT nie!

 

Aus dem einfachen Grund, dass AH einen Hash über das IP Paket macht. Ändert sich etwas im IP Header (z.B. source address durchs NAT) stimmt der Hash logischerweise nicht.

 

Grüsse