sslug-teknik team mailing list archive

["Niklas Palmqvist" <npalmqvist@xxxxxxxxxx>]

> On Tue, May 13, 2003 at 02:47:17PM +0200, Niklas Palmqvist wrote:
> > > On Tue, May 13, 2003 at 02:39:05PM +0200, Kim Nielsen wrote:
> > > > On Tue, 2003-05-13 at 14:29, Jon Bendtsen wrote:
> > > > > Kan man overkomme NAT'ingen og få IPSEC til at virke ?
> > > >
> > > > i følge freeswan har de en patch så de kan men hvordan det virker i
> > > > praksis ved jeg ikke :(. Men normalt skal ipsec jo netop ikke
tillade
> > > > pakker der er ændret som nat nu engang gør. NAT is evil! :)
> > >
> > > Sådan som jeg læser deres dokumentation til freeS/wan 2.0 så
> > > virker det kun for klienter.
> >
> > Kolla på Super FreeS/WAN, jag har inte testat det själv men det ska vara
en
> > patchad version av stock FreeS/WAN inklusive en NAT traversal patch.
> >
> > http://www.freeswan.ca/code/super-freeswan/
>
> Okay, det ser ud til at jeg må afprøve om det virker for mig.
> Men nu har jeg så et andet spørgsmål.
>
> Opertunistisk Kryptering vs. road warriors.
>
> Jeg vil gerne have opertunistisk kryptering, men dem der bruger
> det må ikke kunne snakke med maskinerne inde bag ved. Det skal
> mine road warriors dog. Hvordan løser jeg det problem ?

Vet inte helt hur opertunistisk krypering funkar, men du borde antingen
kunna specifiera det i din ipsec.conf så att din roadwarrior har till gång
till ditt interna nät

och/eller

använda en klient som SSH Sentinel (inte gratis), där du kan få din
roadwarrior till att koppla upp sig med dens lokala interface IP (eth0) som
source IP istället för den externa (typ ppp0) som source IP.

I så fall borde du kunna filtrera trafiken med din firewall så att dina
roadwarriors kan nå dina interna maskiner.

Niklas
--------