sslug-teknik team mailing list archive

[Mogens Valentin <monz@xxxxxxxxx>]

Jon Bendtsen wrote:
> Derfor overvejede jeg at skifte CIPE ud med IPSEC, problemet her er
> NAT. Der NAT'es i begge ender.
> 
> linux <====> NAT'ing G.SHDSL Cisco 828 <------> ADSL NAT'ing Router/client
> 
> Kan man overkomme NAT'ingen og få IPSEC til at virke ?
> Jeg kan muligvis skifte Cisco routeren ud med et netkort der snakker
> direkte med Tiscali, men det er da lidt meget arbejde. Kan jeg fx. sætte
> cisco routeren op til bare at lege bridge? således at den ikke NAT'er ?

Hvis dine routere laver NAT af offentlige IP# til RFC-private IP#, kan
du bruge den alm. Freeswan uden problemer.

Jeg har opsat en løsning, hvor den ene ende udgøres af en cisco 2500
(som jeg ingen kontrol har over; ISP'en sørger blot for at den er åben,
og især at der ikke er reverse-path filtering aktiveret!), der NAT'er
til et 10. net. Bagved står Linux boxen, der fungerer som firewall/ipsec
'concentrator' og masq-router til seks interne net.
Ude i byen har firmaet tre afdelinger, med tilsvarende Linux boxe (dog
uden de mange interne net), koblet direkte til TDC adsl uden router.

Fra hver afdeling er der fire VPN tunneler til den centrale
firewall/vpngw.
Der er altså kun NAT i en router i den ene ende, men jeg er sikker på
det ville virke hvis der var NAT i begge ender.

Det er et spørgsmål om at forstå hvad der er left og right, left/right
subnet, nexthop, og hvornår man skal bruge IP# eller %defaultroute.

Der findes en fin grundlæggende vejledning med bl.a. NAT exempler
et-eller-andet-sted på nettet, mener Størner bragte det på
sikkerhedslisten sidste år, IMMSMR...

-- 
Kind regards / venlig hilsen,
Mogens Valentin, Mr Dev

IT Networking, Security, Server Setup
www.danbbs.dk/~monz   mrdev@xxxxxxxxx
Phone +45 32 525 878  Cell 51 227 668