[LUGOS] NAT-T + se kaj

Nejc Skoberne nejc.skoberne at guest.arnes.si
Wed Jul 30 11:02:07 CEST 2003


Zdravo.

> res muka od muke to vzpostavit. v glavnem lahko recem da sem ipsec guru po
> tej instalaciji.

Uf, mislim, da mi je uspelo. Imam pac klienta, ki je za Linux NATom,
ki se poveze na nek drug Linux streznik. In to z NetScreen-Remote
klientom. Na gatewayju, ki dela NAT, je iptables preveden z vsemi
moznimi opcijami (torej je IPSec PassThrough enablan?). V logu mi
sicer FreeSWAN napise Warning, da je src port se vedno udp 500, torej da
verjetno naprava pocne IPSec PassThrough in da morda vse skupaj ne bo
delalo, vendar se lepo poveze. Dokaz, da vse skupaj deluje, je, da ce
se povezem se z enim klientom, ki je za NATom na isti FreeSWAN
streznik, potem je log pri FreeSWANu drugacen (ne napise tistega
Warninga), kar je OK - in se lepo poveze. Tako da imam dva NATana
klienta za istim NATom ki sta povezana na isti FreeSWAN streznik. Kar
je zame velik dosezek ker prej tega nisem mogel (dobili smo te
NetScreen-Remote kliente, ki podpirajo NAT-T z razliko WinXPjevega
native klienta).

1. A ti si kako disablal IPSec PassThrough v iptables?
2. A mogoce ves, kdaj pride ven NAT-T klient za WinXP (baje je bil ze
zuni, pa so ga skinili dol z WindowsUpdateja ker ni bil kompatibilen z
ostalim IPSec klient-software-om)?
3. Uporabljas certifikate ali PSK? Jaz uporabljam certifikate in me
zanima kaksna je najboljsa varianta:

- imas 1 CA in 1 server-side ter 1 client-side certifikat (per server) - vsi IPSec
  klienti uporabljajo potem isti client-side certifikat.
- imas 1 CA in 1 server-side certifikat (per server) in vec
client-side certifikatov za vsakega klienta posebej.
- imas n CA-jev (kolikor je streznikov), in vsak CA kreira 1
server-side ter 1 client-side certifikat.

Katero varianto uporabljate ostali in kaksne so prednosti/slabosti
zgoraj nastetih? (No, vem, da je s prvo najmanj dela.)

-- 
Nejc Skoberne
Grajska 5
SI-5220 Tolmin
E-mail: nejc.skoberne at guest.arnes.si




More information about the lugos-list mailing list