IPSec za NAT [trosicku delsi ;o)]

[Michal Kubecek]

On Thu, Mar 18, 2004 at 06:00:22PM +0100, Vancl Miroslav (QRIS) wrote:
> Tak jsem si početl v úvahách na téma jak funguje tunel IPSec ale řešení
> nikdo bohužel nenavrhl. 

Kdybyste se nejdřív podíval do archivu, zjistil byste, že je to nejspíš
proto, že stejný dotaz se opakuje celkem pravidelně, a našel byste tam
také řešení. Stručně shrnuto: můžete použít tzv. IPsec NAT Traversal,
což je upravený IPsec tak, aby prošel přes NAT. Ne každá implementace
IPsec to ovšem podporuje a zabijete tím některé podstatné výhody IPsec.
Nebo můžete použít úplně jiné řešení (CIPE, vtun, PPP+SSL, ...), tato
řešení ale nejsou tak standardní a budete muset mít na obou stranách
totéž.

> Jenže NAT je ale celkem běžná a potřebná technika a chtělo by to nějaký
> nápad, jak obejít nedostatek (?) v protokolu.

To není nedostatek protokolu, to je bezpečnostní opatření, které je tam
zcela záměrně. Chybou je snaha schovávat security gateway za NAT. IPsec
s ničím takovým nepočítá, protože byl navržen jako rozšíření IPv6, kde
není důvod maškarádovat (aspoň ne v takovém měřítku, jako v dnešním
Internetu).

                                                        Michal Kubeček