Was genau heisst VPN Passthrought?

[ghost]

Hallo zusammen.

Ich möchte mich gerne mit Rechner A über Router / Gateway B zum Router C per VPN Tunnel verbinden. Das klappt für gewöhnlich auch. Allerdings wechseln meine Gateways, sprich ich gehe von unterschiedlichen Standorten ins Internet.

Man sagt ja, Router / Gateway B muss VPN Passthrought können. Aber was genau heisst dass?

Btw: Macht es einen Unterschied, ob ich mich am Standort B per Kabel oder per WLAN versuche über VPN einzuwählen? Wenn ja, warum macht das nen Unterschied?

[backslash]

Hi ghost

Man sagt ja, Router / Gateway B muss VPN Passthrought können. Aber was genau heisst dass?

VPN Passthrough bedeutet, daß der Router IPSec maskieren können muß. Für die IKE-Verhandlung stellt das zunächst kein Problem dar, da diese über normale UDP-Paket läuft, die problemlos maskierbar sind. Swierig wird es dann bei der Datenübertragung. Hier wird ESP verwendet, was erstmal nicht maskierbar ist, da im ESP-Paket kein vom Router änderbarer Wert vorhanden ist, über das eine Antwort eindeutig zugeordnet werden kann.

Das einzige was eindeutig ist, ist der SPI (Security Parameter Index). Das Problem am SPI ist allerdings, daß der Router ihn nicht während der IKE Verhandlung mitlesen kann (da diese vesrschlüsselt abläuft). Daher ist entweder massives Kaffeesatzlesen und Kristallkugelschauen nötig, um die Zuordnung eindeutig zu machen, oder aber es werden dem Anwender massive Beschränkungen auferlegt, wie z.B. die, daß maximal eine Verbindung maskiert werden kann, oder daß ein Rekeying von "außen" nicht möglich ist.

Ein LANCOM beherrscht das Kaffeesatzlesen und kann daher beliebig viele IPSec-Verbindungen ohne Einschränkungen maskieren.

Gruß
Backslash