IP tunel cez masquerading

[Dan Bar]

Rybarik, Michal napsal(a):
> hello all,
> 
> hladam riesenie, ako spojit tunelom stroj ktory je na verejnom internete 
> so strojom, ktory je za maskaradou (pricom na ten maskaradovaci stroj 
> nemam pristup). spojenie by malo byt "bezudrzbove", to znamena ked spadne 
> jedna zo stran alebo nieco na trase, po obnoveni spojenia sa tunel opat 
> rozchodi sam, bez zasahu (na stroj za nat-kom neexistuje zvonku ziadny 
> pristup, port forward, alebo nieco take, spojenie musi byt iniciovane 
> zvnutra. jediny pristup bude ten tunel a masina je na druhom konci republiky 
> takze spolahlivost by sa _fakt_ zisla).
> 
> behal som v podobnej situacii pokusne ppp over ssh, ale to sa imho po 
> spadnuti spojenia nezotavi, a okrem toho, rad by som pouzil nejake na to 
> navrhnute riesenie. ako prvy som pozeral ip-sec (frees/wan) ale pri nom 
> sa v dokumentacii pise, ze cez NAT to chodit nebude, kedze NAT prepisuje 
> adresy paketov a tym porusi ich integritu.

Jsem ve shodne situaci jako vy, a objevil existenci NAT-T patche (NAT 
traversal patch), ktery vec resi. Otazka samozrejme jak spolehlive 
(v.0.5). Trochu se nad tim rozmyslim, protoze se vlastne patchuje IP 
susbsystem kernelu ...

Jinak je to tady:

http://www.freeswan.ca/code/super-freeswan/

"
Currently, Super FreeS/WAN includes the follow major patches:

     * X.509 Digital Certificates
     * RFC 2409 Port Selectors
     * ALG 0.8.1 (All ciphers/hashes enabled as modules, inc 1DES)
     * Notify/Delete SA
     * NAT Traversal
     * Dead Peer Detection (DPD IETF Draft)
"

resp. http://www.freeswan.ca/patches/


Osobne, pokud NAT-T patch funguje spolehlive, pak bych jej pouzil radeji 
nez vec jako treba CIPE. Ciste proto, ze je to standard (IPSec) a 
klienti jsou defaultne ve vsech Win produktech.

Dan