vpn masquerading

Frank Loeffler knarf.loeffler at freenet.de
Die Nov 12 12:50:55 CET 2002


Hi,

meinst Du das so, dass die Firewall und der VPN-Server nicht ein und der 
selbe Rechner sind, sondern der VPN-Server ein eigener Rechner im 
internen Netz ist?

Wenn nicht, dann brauchst du keinen Patch.

Andreas.Roth wrote:

> Ich dachte ein Weiterreichen von UDP 500 und diversen TCP Ports an den
> Internen FreeS/Wan würde ausreichen, oder habe ich da was nicht richtig
> verstanden?

Zwei Auszuege HOWTOs:

The IPsec AH protocol (51/ip) incorporates a cryptographic checksum 
including the IP addresses in the IP header. Since masquerading changes 
those IP addresses and since the cryptographic checksum cannot be 
recalculated by the masquerading firewall, the masqueraded packets will 
fail the checksum test and will be discarded by the remote IPsec 
gateway. Therefore, IPsec VPNs that use the AH protocol cannot be 
successfully masqueraded. Sorry.

Apart from these limitations, IPsec masquerade is secure and reliable 
when only one IPsec host is being masqueraded at a time, or when each 
masqueraded host is communicating with a different remote host. When 
more than one masqueraded host is communicating with the same remote 
host, a few weaknesses show up: ...

Ich interpretiere das mal so: einen IPSEC-Server hinter einem NAT-Server 
moechte man nicht haben.

mfG, Frank


-- 
tlug Mailingliste
Archiv: http://www.tlug.de/archiv/
http://schwarz.thueday.de/mailman/listinfo/tlug_allgemein