IPSec za NAT [trosicku delsi ;o)]

[Nexus]

Preji konferenci krasne dopoledne,

vyskytl se mi nasledujici problem:

LAN (4 PC) - ROUTER (NAT, 1 real. IP) - internet - nejaka telecomacka
sit

a jde o to, ze jedno z pc v lan si chce pristupovat do teto telecomi
site pres jejich sluzbu IOL IP VPN REMOTE.

podle zaslane dokumentace cituji:
***
Služba IOL IP VPN REMOTE umožňuje připojení samostatného PC k centrále
společnosti pomocí zabezpečeného VPN tunelu. Centrální přípojka využívá
místního připojení k internetu pevnou linkou. Připojované PC se může
připojit přes přístupovou Dial-Up síť IOL, nebo přes jakoukoliv jinou
síť, jako například: jiný Dial-Up provider, mobilní přístup k internetu,
CATV, ADSL. Podmínkou je veřejná IP adresa. V dané přístupové síti nesmí
docházet k překladu adres (NAT).
Zabezpečené VPN tunely se vytváří pomocí standardních protokolů IPSec.
Uživatel je při přihlašování navíc ověřován pomocí RADIUS serveru IOL.
Při instalaci je na připojovaném PC nainstalován software Cisco Systems
VPN Client a je provedena jeho konfigurace.
***

tudiz suma sumarum ma situace je takova: server, ktery nemohu ovlivnit,
na ktery se klient z poza natu (ktery ovlivnit muzu) chce nekdo pripojit
pres ipsec.

vsude jsem cetl, ze ipsec pres nat moc neslape, ipsec moc nerozumim,
proto se ptam. neda se situace vyresit natvrdo proforwardovanim nejakeho
rozsahu portu? nejakym modulem do iptables? ci nejak jinak?

predem dik za nejake ty hints...

-- 
Martin Filip (Nexus)
e-mail: nexus na yo.cz
ICQ#: 31531391
web: http://www.wortex.cz

-- If it happens once, it's a bug.
   If it happens twice, it's a feature.
   If it happens more then twice, it's a design philosophy
-- If it has syntax, it isn't user friendly.
-- If it's not in the computer, it doesn't exist.