IPsec mobil netről, NAT-T

( cruiser | 2011. 02. 28., h - 17:42 )
FreeBSD-security

Üdv!

Még csak ismerkedem a témával, kérdéseim zöldek, pl. hogy egyáltalán van-e különösebb nehézsége, hogy mobil netes gépről (t-mobil) rá tudjak csatlakozni munkahelyi hálózatra IPsec-kel?

Na most, itt konkrétan NAT-olt hálót kéne elérni egy szem (FreeBSD-s) laptopról. A munkahelyi tűzfalon FreeBSD, konkrétan pfSense 1.2.3 van. Ha jól értem, mivel a benti háló NAT mögött van, kellene a NAT-T támogatás a kommunikáció során, hogy a NAT mögé megérkezhessenek az ESP csomagok. A probléma, hogy a pfSense 1.2.3 még nem támogatja a NAT-T-t, ez csak 2.0-tól van. Szóval kellene egy upgrade?

( siposg | 2011. 02. 28., h - 19:33 )

A pfsense nem csak ipsec vpn-t tud, hanem openvpn-t is. Régóta.
Ki kell próbálni, hogy működik-e.

Linuxscripting

( baxter | 2011. 02. 28., h - 20:42 )

A NAT traversal (NAT-T) nem ahhoz kell, hogy a VPN gateway mögötti hálózatokat lásd... Arra a célra szolgál, hogy ha te (mint kliens) vagy NAT-oló eszköz mögött, akkor is ki tudd építeni a VPN kapcsolatot (ugyanis az ESP és AH protokoll alaphelyzetben nem éli túl a címfordítást, emiatt kell az (UDP vagy TCP) enkapszuláció).

Jelen esetben, ha jól értem, nem erről van szó, tehát ne vacakolj a NAT-T-vel.

( Zsugabubus | 2011. 03. 01., k - 12:52 )

Nekem elég rosszak a tapasztalataim ipsec-kel mobilnetről, többnyire nem megy át rajta...openvpn eddig, ami a legjobban bevált.
A NAT-T különben ipsec over UDP...

Na, nálam úgy alakult, hogy átmegy*. Igazából semmi különös nem volt, piszkálgattam a configot, aztán psk-val, tanúsítvánnyal is kipróbáltam, ment.

* Aztán pár napja egyéb okból a pfsense mégis frissítve lett 2.0-RC1-re, és azóta egyelőre megint nem működik. A kliens azt írja, hogy tunnel enabled, de nem megy át semmi. Mondjuk lustaságra hivatkozva a mobil gépen az ike-t raktam fel a portsból, ahol van grafikus felület is a matatáshoz, most hogy ezek nem szeretik egymást, vagy mi egyéb van, egyelőre még nem tudom, de majd kiderül.