IPSec za NAT [trosicku delsi ;o)]

[Nexus]

ano, na routeru je linux,
celou IP adresu na nej protahnout nemuzu... rikal sem si, ze bych
protahl jen rozsah portu, co pouziva ipsec, ale co pouziva, to
netusim...

V Čt, 18. 03. 2004 v 11:51, Vancl Miroslav (QRIS) píše:
> Nejsem si úplě jistý účelem tunelu, ale co takhle ukončit ten tunel přímo na
> routeru (předpokládám, že tam je Linux). 
> Pokud to není přijatelné tak se domnívám (jestli správně chápu
> neslučitelnost IPSec a NAT), že nezbyde než nějakým způsobem "vtáhnout" tu
> veřejnou adresu na stroj v LAN, na kterém má tunel končit. Neporadím určitě
> nejlepší techniku ale jednou jsem na to použil (kvůli něčemu jinému)
> rozdělení veřejného rozsahu (maska 29 bitů) na dvě podsítě, jedna byla za
> routerem a proxy-arp na něm oblbnul router u ISP. Není to ale moc krásné -
> poněkud to plýtvá adresním prostorem.
> Jestli má někdo jinou techniku, taky se rád poučím.
> 
> M. Vancl
> 
> > -----Původní zpráva-----
> > Od:	Nexus [SMTP:nexus na yo.cz]
> > Odesláno:	18. března 2004 11:27
> > Komu:	Konference linux na linux.cz
> > Předmět:	IPSec za NAT [trosicku delsi ;o)]
> > 
> > Preji konferenci krasne dopoledne,
> > 
> > vyskytl se mi nasledujici problem:
> > 
> > LAN (4 PC) - ROUTER (NAT, 1 real. IP) - internet - nejaka telecomacka
> > sit
> > 
> > a jde o to, ze jedno z pc v lan si chce pristupovat do teto telecomi
> > site pres jejich sluzbu IOL IP VPN REMOTE.
> > 
> > podle zaslane dokumentace cituji:
> > ***
> > Služba IOL IP VPN REMOTE umožňuje připojení samostatného PC k centrále
> > společnosti pomocí zabezpečeného VPN tunelu. Centrální přípojka využívá
> > místního připojení k internetu pevnou linkou. Připojované PC se může
> > připojit přes přístupovou Dial-Up síť IOL, nebo přes jakoukoliv jinou
> > síť, jako například: jiný Dial-Up provider, mobilní přístup k internetu,
> > CATV, ADSL. Podmínkou je veřejná IP adresa. V dané přístupové síti nesmí
> > docházet k překladu adres (NAT).
> > Zabezpečené VPN tunely se vytváří pomocí standardních protokolů IPSec.
> > Uživatel je při přihlašování navíc ověřován pomocí RADIUS serveru IOL.
> > Při instalaci je na připojovaném PC nainstalován software Cisco Systems
> > VPN Client a je provedena jeho konfigurace.
> > ***
> > 
> > tudiz suma sumarum ma situace je takova: server, ktery nemohu ovlivnit,
> > na ktery se klient z poza natu (ktery ovlivnit muzu) chce nekdo pripojit
> > pres ipsec.
> > 
> > vsude jsem cetl, ze ipsec pres nat moc neslape, ipsec moc nerozumim,
> > proto se ptam. neda se situace vyresit natvrdo proforwardovanim nejakeho
> > rozsahu portu? nejakym modulem do iptables? ci nejak jinak?
> > 
-- 
Martin Filip (Nexus)
e-mail: nexus na yo.cz
ICQ#: 31531391
web: http://www.wortex.cz

-- If it happens once, it's a bug.
   If it happens twice, it's a feature.
   If it happens more then twice, it's a design philosophy
-- If it has syntax, it isn't user friendly.
-- If it's not in the computer, it doesn't exist.