emba
03.03.04, 16:17
hi
vielerorts ist ja zu lesen, dass IPSEC nur mit NAT kann, wenn man den NAT-Traversal-Patch (z. bsp. aus Super FreeS/WAN) einsetzt
im tunnelmode hingegen wird ja das gesamte (verschlüsselte) paket nochmals in ein IP paket verpackt, sodass hier doch auch ohne den patch NAT möglich sein sollte, oder?
habe selbst leider nur mal kurz mit IPSEC (aber ohne NAT) zu tun gehabt, deshalb diese frage
jetzt unterscheidet man ja noch zwischen IPSEC nur mit ESP und IPSEC mit ESP und AH - letzteres schützt/prüft auch den ip-header
im artikel Top Secret von Ralf Spenneberg in der i´x 1/04 war zu lesen, dass AH alleine in NAT umgebungen nie funktioniert - zunächst für mich logisch, ändert doch NAT die adressen und somit schlägt die prüfung des headers fehl
jetzt aber meine frage(n)
- im tunnelmodus wird ja nochmals das IPSEC paket in ein IP paket gekapselt, sodass hier doch AH möglich sein sollte in einer NAT umgebung, denn da sich die änderung (durch NAT) nicht auf den IP Header auswirkt, der via AH geprüft wird sondern auf den IP Header, der das IPSEC paket kapselt
- kann man bei FreeS/WAN auswählen, welche protokolle man einsetzen will (AH, ESP, ESP+AH) ?
würde mich freuen, wenn sich einer meiner annehmen könnte
thx!
greez
vielerorts ist ja zu lesen, dass IPSEC nur mit NAT kann, wenn man den NAT-Traversal-Patch (z. bsp. aus Super FreeS/WAN) einsetzt
im tunnelmode hingegen wird ja das gesamte (verschlüsselte) paket nochmals in ein IP paket verpackt, sodass hier doch auch ohne den patch NAT möglich sein sollte, oder?
habe selbst leider nur mal kurz mit IPSEC (aber ohne NAT) zu tun gehabt, deshalb diese frage
jetzt unterscheidet man ja noch zwischen IPSEC nur mit ESP und IPSEC mit ESP und AH - letzteres schützt/prüft auch den ip-header
im artikel Top Secret von Ralf Spenneberg in der i´x 1/04 war zu lesen, dass AH alleine in NAT umgebungen nie funktioniert - zunächst für mich logisch, ändert doch NAT die adressen und somit schlägt die prüfung des headers fehl
jetzt aber meine frage(n)
- im tunnelmodus wird ja nochmals das IPSEC paket in ein IP paket gekapselt, sodass hier doch AH möglich sein sollte in einer NAT umgebung, denn da sich die änderung (durch NAT) nicht auf den IP Header auswirkt, der via AH geprüft wird sondern auf den IP Header, der das IPSEC paket kapselt
- kann man bei FreeS/WAN auswählen, welche protokolle man einsetzen will (AH, ESP, ESP+AH) ?
würde mich freuen, wenn sich einer meiner annehmen könnte
thx!
greez