Hallo Liste. Versuche grad mal wieder, den Aufbau einer IPSec-Verbindung zu verstehen. Dabei ist mir folgendes nicht klar: Mein Provider hat mir gesagt, um den Aufbau eines VPN zu ermöglichen, müsse er mir zwei öffentliche IP-Adressen mit einer /30er Maske einrichten, da mit NAT kein IPSec möglich sei. Daß AH nicht durch NAT durchgeht habe ich verstanden. Aber ich lese auch [1], daß ich ein IPSec vollständig durch ESP durchtunneln kann. Was habe ich nicht verstanden? Wozu wären die beiden öffentlichen IPs gut? Danke+Gruß. Andy [1] http://jixen.tripod.com/#NATed gateways -- Andreas Feile www.feile.net
Andreas Feile am Sonntag, 8. Februar 2004 15:07:
Hallo Liste.
Versuche grad mal wieder, den Aufbau einer IPSec-Verbindung zu verstehen. Dabei ist mir folgendes nicht klar:
Mein Provider hat mir gesagt, um den Aufbau eines VPN zu ermöglichen, müsse er mir zwei öffentliche IP-Adressen mit einer /30er Maske einrichten, da mit NAT kein IPSec möglich sei.
Daß AH nicht durch NAT durchgeht habe ich verstanden. Aber ich lese auch [1], daß ich ein IPSec vollständig durch ESP durchtunneln kann.
Irgendwie verstehe ich dein Problem nicht so richtig. Wie willst du IPSec _durch_ ESP durchtunneln. ESP ist das Protokoll, über das eine IPSec-Verbindung auf IP-Ebene abläuft (bei Verschlüsselung, was wohl der Standard sein sollte). Ein IPSec-Server baut zu einem anderen eine Verbindung über Protokoll 50 oder 51 auf (AH bzw ESP, also mit unverschlüsselten Datenpaketen oder mit verschlüsselten). Zwischen beiden dürfen nur Router stehen, die alle IP-Pakete weiterleiten. Ob sie dabei noch die IP-Adresse maskieren oder nicht ist eigentlich egal, denn transportmäßig spielt das IMHO keine Rolle.
Was habe ich nicht verstanden? Wozu wären die beiden öffentlichen IPs gut?
Naja, wenn du mit IPSec durch das Internet willst, müssen schon beide IPSec-Server erreichbar sein. Dafür sind öffentliche IPs ganz sinnvoll, da andere IPs nicht durch das Internet geroutet werden ;-) Oder habe ich deine Frage flachs verstanden? Wie ist denn dein IPSec-Knoten ans Internet angebunden (oder soll es sein)? -- Gruß MaxX 8-)
Hallo Andreas Andreas Feile wrote:
Hallo Liste.
Versuche grad mal wieder, den Aufbau einer IPSec-Verbindung zu verstehen. Dabei ist mir folgendes nicht klar:
Mein Provider hat mir gesagt, um den Aufbau eines VPN zu ermöglichen, müsse er mir zwei öffentliche IP-Adressen mit einer /30er Maske einrichten, da mit NAT kein IPSec möglich sei.
Wenn Du z.B. mit DSL/ISDN/Modem verbunden bist, hast Du schon eine gültige IP (die "Gegenstelle" auch). Die FreeS/WAN Verbindung wird zwischen diesen gültigen Addressen etabliert (sprich zwischen den beiden Rechnern, die am Internet hängen). NAT brauchst Du in dem Falle nur, damit die Pakete deiner "Firewalls/VPN-Endpunkte" weitergeleitet werden; Es ist vielmehr nötig die Pakete aus deinem Netz (mit RFC-Addressen) "in den Tunnel hinein zu routen" wenn sie ins andere (ebenfalls RFC-)Netz befördert werden sollen (und da gibt es dann keine NAT). Sozusagen werden die "nicht geNATete Pakete" in die "geNATeten" eingepackt. Das einzig unschöne ist: Mit den dynamisch zugewiesenen Addressen die deine DSL/ISDN/Modem-devices haben, mußt Du in den Rulesets deiner Firewalls zumindestens IP-Protokoll 4, IKE/udp und IP/ESP von _allen_ zulassen (und das tut erstmal echt weh). Es dürfte auch klar sein, daß hier eine entsprechende Sorgfalt beim einrichten der Firewalls nötig ist (z.B. darf die Firewall ins "interne Netz" noch nicht mal "buh" sagen dürfen ;-) ). Alternativ kannst Du dir wechselseitig die jeweils aktuellen IP-Addressen mitteilen (z.B. per mail) und die Rulesets der Firewalls entsprechend anpassen. Das eigentlich unschöne an der Lösung ist aber, daß die Rechner, die als Firewall/VPN-Endpunkte fungieren bei dem Spiel "nicht richtig mitmachen dürfen" (wird recht widerlich mit dem Routing), die LANs, die "hinter den Endpunkten sind" allerdings schon.
Was habe ich nicht verstanden? Wozu wären die beiden öffentlichen IPs gut?
Es gibt keine "öffentlichen" IP-Addressen. Es gibt _vereinfacht_ Addressen, die im "Internet" geroutet werden (werden in Europa vom RIPE vergeben) und sog. RFC-Addressen, oder besser Netze (z.B. 10.0.0.0/8). Letztere werden seitens der Netzbetreiber eben nicht geroutet.
Danke+Gruß. Andy
Gruß Gerald P.S.: Auf Nachfrage kann ich Dir mal eine entsprechende Konfiguration zukommen lassen. Das wird in jedem Falle etwas dauern, da ich dabei natürlich erstmal ne Menge "ausXen" muß (und eh ein wenig überarbeitet bin). -- Gerald Engl Bunsenstrasse 13 81735 Muenchen 0049-89-676736
participants (3)
-
Andreas Feile
-
Gerald Engl
-
Matthias Houdek