der 1511 muss ja kein Nat Traversel können, da er ja auch nicht die VPN-Verhandlung führt.
NAT-T wird zwischen beiden VPN-Endpunkten verhandelt. Dabei wird geprüft, ob
1. beide Peers NAT-T unterstützen
2. NAT-Geräte auf dem Datenpfad liegen
Sind alle Bedingungen erfüllt, wird NAT-T verwendet.
Da IPSec die Integrität des gesamten IP-Pakets prüft, macht jede IP-Adress Änderung die Daten ungültig.
Bei NAT-T wird das IPSec-Paket in einen UDP-Header gekapselt, damit NAT-Geräte IP-Adresse und Portinformationen ändern können, ohne dadurch das IPSec-Paket zu ändern. Ein IPSec-gesichertes Paket wird bei NAT-T in einem normalen UDP-Paket (Port 4500) gekapselt und über die WAN-Verbindung gesendet.
Da die LANCOMs alle auch die IPsec Maskierung beherrschen sollte der 1511 eigentlich nicht zu einem Problem führen, vorausgesetzt die Firewall lässt die Pakete durch...
