IPSec skrz linux kernel 2.6.18

[Michal Dobes]

Jan Rezab napsal(a):
> Resim problem s linux firewallem.

Resi se problem s linux firewallem nebo spise NATem?

> Mam sit, ze ktery se uzivatele prihlasuji na ruzne vpn (PPTP a L2TP). 
> Firewall je postaveny na linuxu s kernelem 2.6.18.
> 
> Klient ->->-> Firewall ->->-> Internet ->->-> VPN server
> 
> Porblem je v tom, ze se k vpn muze prihlasit jen jeden. Tomu druhemu se 
> uz nepodari prihlasit.
> 
> U PPTP jsem to vyresil nahranim modulu ip_gre. Ale u L2TP se mi nedari 
> na nic prijit.

Resi se problem s IPsec tunelem/transportem nebo cistym L2TP tunelem?
Nebo je to tak, ze je to L2TP pres IPsec transport?

Pokud je to opravdu skrze NAT a vic klientu se soucasne snazi spojit
na stejny VPN server pomoci L2TP/IPsec transportu, tak obecne receno
to nebude fungovat.

Zalezi na tom, jak je realizovan ten VPN server a jak resi otazku NAT-T
rozsireni pro IPsec.
Napriklad, pokud je to linux s NETKEY kernelem, tak to fungovat nebude,
protoze ten pouziva pro identifikaci spojeni tu verejnou adresu a ta
muze byt prirazena jen jednomu spojeni. Takze je tam limit, ze z jednoho
NATu jen jeden uzivatel.
Pokud je to linux s KLIPS, tak by to fungovat mohlo (nefungue na 2.4.x),
tam zase nefunguje pripad, kdy se na jeden VPN server pripoji nekolik
klientu pres ruzne NATy a budou mit tu neverejnou adresu stejnou. :-)
Existuje rada patchu do linuxu na stranu VPN serveru, ktera toto umi
resit, nicmene Xelerance pred rokem jejich uvolneni komunite podminil
sponzorskym darem ve vysi 50 kUSD, pokud se mu jeste nesesly, tak
to venku asi neni, pokud to nekdo jiny nenapsal a neuvolnil.
Jak to je v pripade, ze ten VPN server je realizovan necim jinym,
tak to je na otazku prislusnemu tvurci. :-)

M.