Ny: L2TP/IPsec VPN over en Windows 2000 NAT-router

Nu siger du nok en W2K NAT router.?? Oki du kører W2K på en linie som jeg gerne vil vide hvad er? Hvad er det for en NAT device du har foran? Er det udbyderen der har den eller er det dig selv der har stillet den op?

Jeg har ingen NAT-device foran, jeg har en maskine med Windows 2000 Server og 2 netkort. Her er der installeret Routing and Remote Access som er konfigureret som NAT-router, hvormed alle klienter på mit netværk kan få adgang til internettet med NAT-raouteren som default gateway.

Min ADSL (fra TDC) går fra den hvide Siemens-box (ved ikke hvad den tekniske betegnelse er for den dims) ind i det ene netværkskort, og det andet NIC er forbundet til switchen der samler mit interne net.

Alt fungerer glimrende, web/realPlayer/ftp/whatever og jeg har desuden prøvet at disable firewall'en (software på routeren) uden at det gjorde nogen forskel - IPsec kan stadigvæk ikke routes med (min) NAT ...

For lige at præcisere ... Jeg kan godt oprette tunneler til alle vores lokationer (L2TP-delen), men den IPsec-krypterede trafik når ikke igennem.

Please help me - og scor måske også pointne fra http://www.eksperten.dk/spm/193385!? :o)

Tjeck lige den her: http://support.microsoft.com/default.aspx?scid=kb;EN-US;q259335 siger noget om at du skal lave et certificate for at kunne køre IPSEC over NAT..

Ellers var der ogsså en del info hos Cisco.. Hvis du kører med deres VPN klient ser det ikke ud til at være et problem.. Søg på "allow ipsec through nat"

Håber det kan hjælpe dig lidt længere fremad.. :)

Hey tak for linket - men der står bare rimelig klart at det ikke kan lade sig gøre ...

"If the Virtual Private Network (VPN) client is behind any network device performing Network Address Translation (NAT), the L2TP session fails because encrypted IPSec Encapsulating Security Payload (ESP) packets become corrupted. If the VPN client is on the same computer as Windows Internet Connection Sharing/Network Address Translation, the client is most likely able to establish an L2TP session because NAT does not perform any IP address or Port translation when packets originate from its own node."

Jeg kunne ikke lige finde noget på Cisco ... :o(

Iøvrigt bruger jeg Raptor Mobile VPN som klient - tænkte på om man så er nødt til at inst. Raptor Mobile på router-maskinen og køre al' VPN derigennem!? - Og i givet fald: via term. server eller kan jeg stadigvæk gøre det fra klienten? :o)

"RaptorMobile is not compatible with Port Address Translation (PAT). After the ISAKMP negotiation (UDP/500), the rest of an IPSEC connection is based on raw IP traffic, usually IP protocol types 50 (ESP) or 51 (AH). Devices that only do Network Address Translation (NAT) based on ports will not work with this because there are no ports associated with IP. Ports come into play at the transport layer, TCP/UDP.

To use RaptorMobile through a device that uses NAT, the device must do IP-to-IP mappings instead of just PAT. Though this issue appears when using RaptorMobile, this is actually an IPSEC issue and is not strictly related to RaptorMobile."

(Fra: http://service2.symantec.com/SUPPORT/firewallvpnkb.nsf/7dae9b5c77063aae85256ab6005e965a/b0ae103bde55263485256ad5006e96ee?OpenDocument&prev=http://search.symantec.com/custom/us/techsupp/enterprise/kb/query.html?*col=kb%20us*st=1*nh=10*pcode=*qp=url:/firewallvpnkb.nsf/7dae9b5c77063aae85256ab6005e965a,url:us-sarc,url:us-ts,url:us-lu*qt=ipsec%20over%20nat*miniver=raptormobile_652_win2000*sone=raptormobile_652_win2000_tasks.html*stg=*prod=RaptorMobile*ver=6.5.2%20for%20Windows%202000*base=http://www.symantec.com/techsupp/enterprise/products/raptormobile/raptormobile_652_win2000/*next=&sone=raptormobile_652_win2000_tasks.html&stg=&prod=RaptorMobile&ver=6.5.2%20for%20Windows%202000&base=http://www.symantec.com/techsupp/enterprise/products/raptormobile/raptormobile_652_win2000/&next=&src=ent&pcode=&dtype=corp&svy=p74646807)

Er der nogen der ved hvordan dette sættes op på en Windows 2000 NAT-router? :o)

Følgende er ikke testet da jeg ikke har en W2K server at lege med lige nu.

Det der er problemet er at når man kører NAT så er de ikke de rette adr som hosten ser. Den forventer at se den globale adr i pakken men den får den lokale. For at komme ud over det problem skal der laves fusk på den lokale maskine ved at sætte den op til at have den samme IP (secondær) som der bliver accesset internettet med fra serveren der laver NAT. Så skal der laves en host route på serveren der kører NAT ind mod klienten.

Pointen er at få softwaren til at stampe sin pakke med den udvendige IP der skulle løse problemet.. Samme problem vil man også ha' med filoverførsel fra f.eks. MS messenger..

Men hvorfor vælge IPSEC? PPTP er da ok sikker hvis man banker den op i 128bit kryptering.. Og så er den ligeglad med NAT..

Hmmm, kan du formulere det klarere? ;o) ... Skal jeg assigne en sekundær IP til min klient som er lig min eksterne IP? - Vil det ikke given adressekonflikt på netværket? :o)

Hvad valget mellem L2TP og PPTP angår så er det desværre ikke min beslutning ;o)

Yep.. Det ville ikke give en adr konflikt hvis din router/NAT er sat rigtigt op.. Vi kører selv en lign løsning på mit arbejde da vi har en unde som kræver at vi kører IPSEC.. Men det er lidt noget fusk at sætte op og jeg kender desværre ikke den helt rette måde at gøre det på i W2K.. Men kan du vente et par uger kan jeg få lavet en test installation hvor jeg kan duplikere dit problem og finde løsningen..

dinkie -> Hvis du gider det ville det bare være perfekt!! - Imens vil jeg lige fuske med det selv ...

Et spørgsmål dog, hvordan sikres at mine pakker har min public ip som stempel fremfor den interne adresse når der er to IP assigned til samme NIC? :o)

Det er nemlig det som er den tricky del i det som jeg ikke kender til på W2K.. ;) Det er det som skal testes igennem, men det BURDE kunne lade sig gøre..

Ahaaa ... du er måske mest en Linux-haj? :o)

Nej uha.. Det der UNIX lign fætter ting er jeg slet ikke inde i.. :o)

"Det er nemlig det som er den tricky del i det som jeg ikke kender til på W2K.. ;) " - Hvad kender du så den del i? :o) .. når det nu ikke er Linux - er det HW du har sat det op på? :o)

Venter spændt ;o)

Det er da godt at de løsninger jeg har lavet med Cisco og Nortel
IPSec ikke er klar over denne begrænsning, for det virker da
meget godt, så, men det er en nyhed for mig....
MVH
Rikard

Please help me - synes at mit spørgsmål er lidt død i sværen!? :oS

Jeg kan ikke umiddelbart forestille mig at nogen har noget imod at jeg lukker denne nu!? ;o)