hi

vielerorts ist ja zu lesen, dass IPSEC nur mit NAT kann, wenn man den NAT-Traversal-Patch (z. bsp. aus Super FreeS/WAN) einsetzt

im tunnelmode hingegen wird ja das gesamte (verschlüsselte) paket nochmals in ein IP paket verpackt, sodass hier doch auch ohne den patch NAT möglich sein sollte, oder?

habe selbst leider nur mal kurz mit IPSEC (aber ohne NAT) zu tun gehabt, deshalb diese frage

jetzt unterscheidet man ja noch zwischen IPSEC nur mit ESP und IPSEC mit ESP und AH - letzteres schützt/prüft auch den ip-header

im artikel Top Secret von Ralf Spenneberg in der i´x 1/04 war zu lesen, dass AH alleine in NAT umgebungen nie funktioniert - zunächst für mich logisch, ändert doch NAT die adressen und somit schlägt die prüfung des headers fehl

jetzt aber meine frage(n)

- im tunnelmodus wird ja nochmals das IPSEC paket in ein IP paket gekapselt, sodass hier doch AH möglich sein sollte in einer NAT umgebung, denn da sich die änderung (durch NAT) nicht auf den IP Header auswirkt, der via AH geprüft wird sondern auf den IP Header, der das IPSEC paket kapselt

- kann man bei FreeS/WAN auswählen, welche protokolle man einsetzen will (AH, ESP, ESP+AH) ?

würde mich freuen, wenn sich einer meiner annehmen könnte

thx!

greez

Original geschrieben von emba
vielerorts ist ja zu lesen, dass IPSEC nur mit NAT kann, wenn man den NAT-Traversal-Patch (z. bsp. aus Super FreeS/WAN) einsetzt

Das stimmt nicht ganz. NAT-Traversal ist nur in bestimmten Umgebungen erforderlich.
Zunächst einmal:
Wie wird genattet?

client1---Nat-Gerät----Server
client2--|
Wenn der client1 auf den Server zugreift und genattet wird, muss das NAT-Gerät sich diese Verbindung merken, um anschließend die Antwortpakete zum Client1 zurückschicken zu können. Hierzu nutzt es einen Trick. Jeder Port des NAT-Gerätes darf nur einmal verwendet werden. Das NAT-Gerät führt dann eine Liste, in dem die Ports den Clients zugeordnet werden können. So können mehrere Clients gleichzeitig auf demselben Server und denselben Dienst zugreifen.
ESP bzw. AH sind jedoch eigene IP-Protokolle und verfügen nicht über Ports. Wenn nur ein Client über das NAT-Gerät mit ESP auf einen Server zugreift, erzeugt das noch keine Probleme. Bei dem zweiten Client bekommt das NAT-Gerät aber Probleme bei der Zuordnung der Antwortpakete an die Clients. Eine Zuordnung über Ports ist nicht möglich. Der NAT-Traversal erlaubt genau dies, indem der Client die Pakete nochmal in UDP kapselt. UDP hat bekanntlich Ports und kann daher genattet werden!


jetzt unterscheidet man ja noch zwischen IPSEC nur mit ESP und IPSEC mit ESP und AH - letzteres schützt/prüft auch den ip-header

im artikel Top Secret von Ralf Spenneberg in der i´x 1/04 war zu lesen, dass AH alleine in NAT umgebungen nie funktioniert - zunächst für mich logisch, ändert doch NAT die adressen und somit schlägt die prüfung des headers fehl

jetzt aber meine frage(n)

- im tunnelmodus wird ja nochmals das IPSEC paket in ein IP paket gekapselt, sodass hier doch AH möglich sein sollte in einer NAT umgebung, denn da sich die änderung (durch NAT) nicht auf den IP Header auswirkt, der via AH geprüft wird sondern auf den IP Header, der das IPSEC paket kapselt

Ein Tunnel-AH-IP-Paket sieht so aus:
IP-AH-IP-TCP-Payload
Das AH-Protokoll schützt nun nicht nur die Daten rechts vom AH Header sondern auch den äußeren IP-Header. Dies unterscheidet unter anderem AH von ESP. Ein NAT des äußeren IP-Headers erzeugt also Probleme.


- kann man bei FreeS/WAN auswählen, welche protokolle man einsetzen will (AH, ESP, ESP+AH) ?

Ja und Nein. Seit FreeS/WAN 2.0 ist AH nicht funktionstüchtig. In der aktuellen Version wurde die AH-Unterstützung sogar komplett entfernt. Ältere Versionen können es noch. AH wird kaum noch eingesetzt. ESP kann einfach mehr. Es bietet ähnlich wie AH eine Authentifizierung und Integritätsüberprüfung (ohne den äußeren IP Header) und zusätzlich die Verschlüsselung. Die meisten Systeme setzen nur noch ESP ein.

Gruß,

Ralf

hey ralf

ich wusste, ich kann auf deine schnelle und kompetente hilfe zählen ;)

hab alles verstanden und hast mir sehr geholfen !!!

greez

ps: das buch ist da ;)