It is currently 22.07.2017 04:53


All times are UTC




Post new topic Reply to topic  [ 8 posts ] 
Author Message
 Post subject: ipsec
PostPosted: 05.07.2008 14:44 
AES 192 bit
AES 192 bit

Joined: 29.05.2008 20:00
Posts: 121
hallo,

ich möchte einen ipsec tunnel zw einem etch rechner und einem windows 2000 Rechner aufbauen.

Was gibt es denn da an Lösungen?
openswan? gibts das auch für windows?

oder was wäre zu empfehlen?

strongswan scheint mir weiter verbreitet zu sein oder täusch ich mich da?


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 06.07.2008 11:11 
openvpn.eu Admin
openvpn.eu Admin
User avatar

Joined: 23.01.2006 08:05
Posts: 3321
Location: near Vienna
Hallo

Laut der Wiki von Openswan kann zwischen Windows und Openswan eine Verbindung hergestellt werden. Siehe hier: http://wiki.openswan.org/index.php/Openswan/Windows
Auch Strongswan scheint mit Windows zusammenzuarbeiten, siehe hier: http://www.strongswan.org/docs/readme42.htm#section_9.5

Was mehr verbreitet ist, weiß ich nicht.

_________________
regards,
note
Please take a look at our rules. Besucht mal unsere Wiki !


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 06.07.2008 16:55 
AES 192 bit
AES 192 bit

Joined: 29.05.2008 20:00
Posts: 121
ok super.

kennst du vll eine gutes howto wie man strong/openswan bei einem roadwarrior szenario einrichtet. Die Anleitung auf der Strongswan seite finde ich ein wenig zu rudimentär :)

noch eine Frage:
wenn ein ipsec endpunkt hinter einer FW ist wie funktioniert das?
der TCP/UDP Header ist ja verschlüsselt. also kann man kein Portforwarding machen? wie macht man das dann am besten? man kann ja nicht alle ips der roadwarrior einfach durch ipforwarding auf den ipsec rechner bringen??


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 06.07.2008 18:35 
openvpn.eu Admin
openvpn.eu Admin
User avatar

Joined: 23.01.2006 08:05
Posts: 3321
Location: near Vienna
Soviel ich zum Thema IPsec weiß (und das ist leider nicht sehr viel), wird in Fällen von Firewalls zwischen den Endpunkten ein sog. NAT Traversal verwendet. Dies packt das IPsec Paket in ein UDP Paket und sendet es an den anderen Host, dadurch kann es durch Firewalls (mit Portforwarding) durchgeleitet werden.
Dies ist hat dann also ähnliches Verhalten wie bei OpenVPN.

Beispiele kann ich dir leider keine geben, möglicherweise findest du über Google welche. Wie gesagt, mein Wissen zu dem Thema ist beschränkt.

_________________
regards,
note
Please take a look at our rules. Besucht mal unsere Wiki !


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 06.07.2008 19:10 
AES 192 bit
AES 192 bit

Joined: 29.05.2008 20:00
Posts: 121
das dachte ich mir auch. also dass es nur über as Nat-T gehen kann. weil damit ein zusätzlicher UDP Header dran kommt.
Nur jetzt les ich folgendes auf der openswan seite:
To pass IPsec traffic through a firewall, you'll need the following ports/protocols open in both directions:

* Protocol 50 ESP
* Protocol 51 AH (Optional)
* UDP port 500 IKE
* UDP port 4500 (If you are using NAT-Traversal to tunnel through NAT/other Firewalls)

das sieht so aus als müsste port 50 und 500 offen sein, auch ohne NAT-T. Nur frag ich mich warum, die Layer4 Header sind doch eh verschlüsselt.

edit: ich glaub mit protocol 50 meinen die nicht den Port sondern irgendwas im ip header


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 06.07.2008 19:17 
openvpn.eu Admin
openvpn.eu Admin
User avatar

Joined: 23.01.2006 08:05
Posts: 3321
Location: near Vienna
Die angegebenen Ports/Protokolle sind nur für reine Firewalls also kein NAT. Mit Protokoll ist wirklich ein anderes Protokoll als TCP/UDP gemeint. Meiner Meinung nach müsste für NAT-T UDP Port 4500 reichen.

_________________
regards,
note
Please take a look at our rules. Besucht mal unsere Wiki !


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 06.07.2008 20:57 
AES 192 bit
AES 192 bit

Joined: 29.05.2008 20:00
Posts: 121
ja das stimmt, wenn man mit NAT-T arbeitet dann reicht der UDP Port. da durch NAT-t ein udp header dazukommt. Jedoch muss man mit win2k dann mit l2tp/ipsec arbeiten um mit einem openswan rechner mit Nat-t zu kommunizieren.

Wenn ich aber nicht mit nat-t arbeiten will, kann man dann das protokoll 50 weiterleiten auf den openswan rechner?
die FW arbeitet mit NAT, daher brauch ich eine Weiterleitung zu dem ipsec rechner


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 07.07.2008 12:22 
openvpn.eu Admin
openvpn.eu Admin
User avatar

Joined: 23.01.2006 08:05
Posts: 3321
Location: near Vienna
Theoretisch sollte man die Protokolle NATen können, wenn man nur eine ipsec Gegenstelle im Netzwerk hinter dem NAT-Router hat. Aber das ist jetzt nur eine theoretische Behauptung... :)

_________________
regards,
note
Please take a look at our rules. Besucht mal unsere Wiki !


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 8 posts ]  Moderator: Moderators

All times are UTC


Who is online

Users browsing this forum: No registered users and 1 guest


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net