 |
|
|
|
| Autor |
Nachricht |
kiksen
Anmeldungsdatum: 06.04.2005
Beiträge: 7
Wohnort: Heidelberg
|
 Verfasst am:
Mi 01 Feb, 2006 11:10 |
  |
|
Hallo Forum,
ich muss einen IpSec Tunnel zwischen zwei Geräten (Cisco und Linux) aufbauen was eigentlich kein Problem ist. Dazwischen hängt ein Lancom-Gerät, der seine Interneteinwahl per PPTP macht.
Der Lancom macht dann von seiner WAN-IP ein Port-Forwarding für den UDP Port 500 auf den Cisco. ESP wird dann auch automatisch geöffnet. Soweit funktioniert alles ganz gut.
Irgendwann greifen aber irgendwelche Timeouts an der Firewall oder der NAT Tabelle. Nach ca. 2 Min ohne Traffic fliegt wohl der UDP Eintrag raus, ob es nun die Firewall oder NAT ist ist mir unklar.
Ich selbst habe wenig bis gar keine Ahnung von Lancom Geräten und administriere das Gerät auch nicht selbst. Daher suche ich nach Lösungsmöglichkeiten die ich dem Admin vorschlagen kann.
Gibt es grundsätzlich die Möglichkeit die Firewall und das NAT so einzustellen, dass UDP 500 und UDP 4500 1:1 an eine Adresse weitergeleitet werden und auch kein Automatismus für ESP mehr greift? Dann würde NAT-T meiner Router greifen und IKE DPD würde mir etwas Glück die UDP Einträge im NAT offen halten.
Vielen Dank!
Grüße
Christian |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
superduper
Anmeldungsdatum: 30.01.2006
Beiträge: 15
|
| Verfasst am:
Mi 01 Feb, 2006 12:51 |
|
|
Hi!
Soweit es mir bekannt ist, ist es nicht möglich IPSEC Pakete zu NATten.
Dabei spreche ich nicht von PPPTP o.ä. was oft als "richtiges" IPSEC bezeichnet wird.
Es gibt jedoch Geräte die ein IPSEC Passthrough ermöglichen. Ob Lancom das kann weiss ich leider nicht.
Wichtig ist auch, dass die MTU auf den Endgeräten entsprechend kleiner eingestellt wird (Verhinderung von Fragmentierung). einfach die MTU der Endgeräte (die Geräte, welche die VPN Verbindung herstellen) auf zb. 988 testweise umstellen.
Es ist sehr oft ein Problem das die Pakete fragmentiert werden und deshalb keine IPSEC Verbindung aufgebaut werden kann. |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Mi 01 Feb, 2006 19:21 |
|
|
Hallo superduper,
| Zitat:
|
|
Dabei spreche ich nicht von PPPTP o.ä. was oft als "richtiges" IPSEC bezeichnet wird.
|
wirklich? Wer bezeichnet das denn "oft" so?
| Zitat:
|
|
Es gibt jedoch Geräte die ein IPSEC Passthrough ermöglichen. Ob Lancom das kann weiss ich leider nicht.
|
Das kann er sogar gleichzeitig für mehrere IPSec-Verbindungen.
| Zitat:
|
|
Wichtig ist auch, dass die MTU auf den Endgeräten entsprechend kleiner eingestellt wird (Verhinderung von Fragmentierung).
|
An der MTU muss überhaupt nicht rumgefummelt werden. Und fragmentieren tut heutzutage kein Router mehr.
Gruß
Mario |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mi 01 Feb, 2006 21:03 |
|
|
Hi kiksen,
| Zitat:
|
|
Irgendwann greifen aber irgendwelche Timeouts an der Firewall oder der NAT Tabelle. Nach ca. 2 Min ohne Traffic fliegt wohl der UDP Eintrag raus, ob es nun die Firewall oder NAT ist ist mir unklar.
|
Das dürfte dann wohl eher an irgendwelchen Idle-Timeouts in den beteiligten VPN-Gateways liegen. Es gibt zwar auch sowohl im der Firewall als auch im NAT einen timeout für UDP (default 20 Sekunden), der aber bei der IPSec-Maskierung gar nicht zuschlägt. Hier wird das Ende der jeweiligen Session nach jeder Menge Kristallkugelschauen und Kaffeesatzlesen herausgefunden. Wenn du DPD machst, dann sollten sie niemals herausaltern (solange das DPD-Intervall kurz genug ist - z.B. 30 Sekunden)
| Zitat:
|
|
Gibt es grundsätzlich die Möglichkeit die Firewall und das NAT so einzustellen, dass UDP 500 und UDP 4500 1:1 an eine Adresse weitergeleitet werden
|
schau mal unter IP-Router -> Maskierung -> Service-Tabelle nach...
| Zitat:
|
|
und auch kein Automatismus für ESP mehr greift?
|
Das ist richtig - dafür greift den der Automatismus der NAT-Traversal Erkennung, da es jede Menge proprietärer Verfahren gibt, um IPSec durch ein NAT zu bekommen - NAT-T ist nur eine davon, aber wenigstens eine Standartisierte...
| Zitat:
|
|
Dann würde NAT-T meiner Router greifen und IKE DPD würde mir etwas Glück die UDP Einträge im NAT offen halten.
|
Wie gesagt: DPD kannst du auch ohne NAT-T verwenden und genau das hält die bei der IPSec-Maskierung die Session offen.
Wenn du NAT-T verwendest, dann mußt du in jedem Fall die UDP-Haltezeit soweit hochsetzen, daß die oberhalb des DPD-Intervalls und des NAT-T Keep-Alives (20 Sekunden) liegt. Wenn du also das DPD-Intervall auf 30 Sekunden stellst (Minimum), dann muß der UDP-Timeout ca. 35 Sekunden betragen. Den UDP-Timeout stellst du unter IP-Router -> Maskierung -> UDP-Aging ein...
Gruß
Backslash |
|
|
|
|
|
|
|
|
| |
|
|
