Hi beneleiminger
so der Client kommt nun logischerweiße nicht über den Router hinaus
wie kommst du denn darauf? LANCOMs beherrschen IPSec-Passthrough...
Wenn der Client sich nicht zu "seinem" VPN-Server verbinden kann, dann liegt es daran, daß der Client falsch konfiguriert ist, z.B. stimmt die Adresse des Servers nicht, oder es der falsche Modus konfiguriert (Main-Mode statt Aggressive-Mode) oder die Verschlüsselungsalgorythmen stimmen nicht überein oder, oder, oder...
Wenn der Client sich zwar verbinden kann, aber keine Datan fließen, dann liegt es daran, daß zwischen dem LANCOM und dem VPN-Server irgendwo ein weiteres NAT steht, daß kein IPSec-Passthrough beherrscht.
In diesem Fall müssen sowohl der Client, als auch der Server NAT-T beherrschen.
Kann man diese dafür missbrauchen, dass sich ein Clients im LAN via eigenem VPN-Proggie einen Tunnel durch den LANCOM fräsen und so in dessen Firmennetz einwählen kann?
nein - es gibt keine Möglichkeit sich irgendwie "dazwischen" zu hängen. Wenn das ginge, wäre das ja ein erfolgreicher Man-In-The-Middle-Angriff und würde den ganzen VPN-Kram ad absurdum führen...
Das NAT-T ist für den VPN-Stack des LANCOMs gedacht, d.h. wenn entweder das LANCOM selbst einen Tunnel zu einem Server aufbauen will oder aber ein VPN-Client will zum LANCOM connecten und zwischen beiden steht ein NAT, daß kein IPSec-Passthrough beherrscht.
Gruß
Backslash
stimmt sinnlos, aber so meinte ich das nicht. Eher so nach dem Motto das der LC sich dumm stellt und es einfach passieren lässt. wohl kranker denkfehler.