tunel mezi sítěma

[Michal Kubecek]

On Wed, Sep 15, 2004 at 02:31:24AM +0200, P.L. wrote:
> S NATem asi bude problém. Představuju si to tak, že paket do vzdálené 
> sítě se kompletně zašifruje a protokolem 50 se pošle na bránu sítě, 
> kde se rozšifruje a pošle na cílovou adresu. Tam mi není jasné, kde by 
> byl problém v NATem. Připojení je přes ADSL modem a tam se NATu neumím 
> zbavit.

Problém s NATem jsem myslel v situaci, kdy síť, kterou propojujete,
používá privátní adresy a váš počítač provádí jejich překlad na svou
reálnou vnější adresu. V takovém případě je obvykle (záleží na tom, jak
to přesně má fungovat) nutné zajistit, že pakety procházející tunelem se
NATovat nebudou.

Pokud je ale samotná security gateway schovaná za NATem, je to problém
daleko závažnější. Takovou situaci s IPsec řešit nelze. Existuje jakási
obezlička, která to dokáže obejít tím, že se tunel zabalí do UDP paketů,
říká se tomu IPsec NAT traversal. Implementace s jádrem 2.6 a démonem
racoon sice NAT traversal umí, ale s tím vám neporadím, protože toto
řešení moc rád nemám, takže s ním nemám praktické zkušenosti.

							  Michal Kubeček