vpn masquerading
Frank Loeffler
knarf.loeffler at freenet.de
Die Nov 12 12:50:55 CET 2002
Hi,
meinst Du das so, dass die Firewall und der VPN-Server nicht ein und der
selbe Rechner sind, sondern der VPN-Server ein eigener Rechner im
internen Netz ist?
Wenn nicht, dann brauchst du keinen Patch.
Andreas.Roth wrote:
> Ich dachte ein Weiterreichen von UDP 500 und diversen TCP Ports an den
> Internen FreeS/Wan würde ausreichen, oder habe ich da was nicht richtig
> verstanden?
Zwei Auszuege HOWTOs:
The IPsec AH protocol (51/ip) incorporates a cryptographic checksum
including the IP addresses in the IP header. Since masquerading changes
those IP addresses and since the cryptographic checksum cannot be
recalculated by the masquerading firewall, the masqueraded packets will
fail the checksum test and will be discarded by the remote IPsec
gateway. Therefore, IPsec VPNs that use the AH protocol cannot be
successfully masqueraded. Sorry.
Apart from these limitations, IPsec masquerade is secure and reliable
when only one IPsec host is being masqueraded at a time, or when each
masqueraded host is communicating with a different remote host. When
more than one masqueraded host is communicating with the same remote
host, a few weaknesses show up: ...
Ich interpretiere das mal so: einen IPSEC-Server hinter einem NAT-Server
moechte man nicht haben.
mfG, Frank
--
tlug Mailingliste
Archiv: http://www.tlug.de/archiv/
http://schwarz.thueday.de/mailman/listinfo/tlug_allgemein