OpenVPN.eu
http://forum.openvpn.eu/

ipsec
http://forum.openvpn.eu/viewtopic.php?f=18&t=4471
Page 1 of 1

Author:  vpnblubb [ 05.07.2008 14:44 ]
Post subject:  ipsec

hallo,

ich möchte einen ipsec tunnel zw einem etch rechner und einem windows 2000 Rechner aufbauen.

Was gibt es denn da an Lösungen?
openswan? gibts das auch für windows?

oder was wäre zu empfehlen?

strongswan scheint mir weiter verbreitet zu sein oder täusch ich mich da?

Author:  note [ 06.07.2008 11:11 ]
Post subject: 

Hallo

Laut der Wiki von Openswan kann zwischen Windows und Openswan eine Verbindung hergestellt werden. Siehe hier: http://wiki.openswan.org/index.php/Openswan/Windows
Auch Strongswan scheint mit Windows zusammenzuarbeiten, siehe hier: http://www.strongswan.org/docs/readme42.htm#section_9.5

Was mehr verbreitet ist, weiß ich nicht.

Author:  vpnblubb [ 06.07.2008 16:55 ]
Post subject: 

ok super.

kennst du vll eine gutes howto wie man strong/openswan bei einem roadwarrior szenario einrichtet. Die Anleitung auf der Strongswan seite finde ich ein wenig zu rudimentär :)

noch eine Frage:
wenn ein ipsec endpunkt hinter einer FW ist wie funktioniert das?
der TCP/UDP Header ist ja verschlüsselt. also kann man kein Portforwarding machen? wie macht man das dann am besten? man kann ja nicht alle ips der roadwarrior einfach durch ipforwarding auf den ipsec rechner bringen??

Author:  note [ 06.07.2008 18:35 ]
Post subject: 

Soviel ich zum Thema IPsec weiß (und das ist leider nicht sehr viel), wird in Fällen von Firewalls zwischen den Endpunkten ein sog. NAT Traversal verwendet. Dies packt das IPsec Paket in ein UDP Paket und sendet es an den anderen Host, dadurch kann es durch Firewalls (mit Portforwarding) durchgeleitet werden.
Dies ist hat dann also ähnliches Verhalten wie bei OpenVPN.

Beispiele kann ich dir leider keine geben, möglicherweise findest du über Google welche. Wie gesagt, mein Wissen zu dem Thema ist beschränkt.

Author:  vpnblubb [ 06.07.2008 19:10 ]
Post subject: 

das dachte ich mir auch. also dass es nur über as Nat-T gehen kann. weil damit ein zusätzlicher UDP Header dran kommt.
Nur jetzt les ich folgendes auf der openswan seite:
To pass IPsec traffic through a firewall, you'll need the following ports/protocols open in both directions:

* Protocol 50 ESP
* Protocol 51 AH (Optional)
* UDP port 500 IKE
* UDP port 4500 (If you are using NAT-Traversal to tunnel through NAT/other Firewalls)

das sieht so aus als müsste port 50 und 500 offen sein, auch ohne NAT-T. Nur frag ich mich warum, die Layer4 Header sind doch eh verschlüsselt.

edit: ich glaub mit protocol 50 meinen die nicht den Port sondern irgendwas im ip header

Author:  note [ 06.07.2008 19:17 ]
Post subject: 

Die angegebenen Ports/Protokolle sind nur für reine Firewalls also kein NAT. Mit Protokoll ist wirklich ein anderes Protokoll als TCP/UDP gemeint. Meiner Meinung nach müsste für NAT-T UDP Port 4500 reichen.

Author:  vpnblubb [ 06.07.2008 20:57 ]
Post subject: 

ja das stimmt, wenn man mit NAT-T arbeitet dann reicht der UDP Port. da durch NAT-t ein udp header dazukommt. Jedoch muss man mit win2k dann mit l2tp/ipsec arbeiten um mit einem openswan rechner mit Nat-t zu kommunizieren.

Wenn ich aber nicht mit nat-t arbeiten will, kann man dann das protokoll 50 weiterleiten auf den openswan rechner?
die FW arbeitet mit NAT, daher brauch ich eine Weiterleitung zu dem ipsec rechner

Author:  note [ 07.07.2008 12:22 ]
Post subject: 

Theoretisch sollte man die Protokolle NATen können, wenn man nur eine ipsec Gegenstelle im Netzwerk hinter dem NAT-Router hat. Aber das ist jetzt nur eine theoretische Behauptung... :)

Page 1 of 1 All times are UTC
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/