[LUGOS] NAT-T + se kaj

Gregor Ibic gregor.ibic at intelicom.si
Wed Jul 30 11:22:31 CEST 2003


po defaultu ipsec passtrough kvari nat-t komunikacijo. tako da nimam
passtrougha.
cilj mi je bil usposobit road warriere ki se proklapljajo po gsm-ju.

natt za winxp je mislim ze zunaj. vceraj sem ga skinu kot update. vendar ga
ne uporabljam
ker rabim virtual ip.

CA definitivno eden. kako bi ti imel multi CA, saj to je le zmeda, in se ni
varno.
prva varianta mislis da bi imel za eno remote lokacijo na gw cert? to potem
ni nattano, kajne?
razen ce ni za nat firewalom. raje to prestavi na firewall in ni problemov

ce pa imas drugo varianto, definitvno vsak user svoj cert, da jih bos lahko
lovil kdo je kdo.

lp,
gregor


Intelicom d.o.o.
Security software company
http://www.intelicom.si
email: info at intelicom.si
tel.: ++386 5 6309 158
fax.: ++386 5 6279 355

-----Original Message-----
From: Nejc Skoberne [mailto:nejc.skoberne at guest.arnes.si]
Sent: Wednesday, July 30, 2003 11:02 AM
To: Gregor Ibic
Subject: Re: [LUGOS] NAT-T + se kaj


Zdravo.

> res muka od muke to vzpostavit. v glavnem lahko recem da sem ipsec guru po
> tej instalaciji.

Uf, mislim, da mi je uspelo. Imam pac klienta, ki je za Linux NATom,
ki se poveze na nek drug Linux streznik. In to z NetScreen-Remote
klientom. Na gatewayju, ki dela NAT, je iptables preveden z vsemi
moznimi opcijami (torej je IPSec PassThrough enablan?). V logu mi
sicer FreeSWAN napise Warning, da je src port se vedno udp 500, torej da
verjetno naprava pocne IPSec PassThrough in da morda vse skupaj ne bo
delalo, vendar se lepo poveze. Dokaz, da vse skupaj deluje, je, da ce
se povezem se z enim klientom, ki je za NATom na isti FreeSWAN
streznik, potem je log pri FreeSWANu drugacen (ne napise tistega
Warninga), kar je OK - in se lepo poveze. Tako da imam dva NATana
klienta za istim NATom ki sta povezana na isti FreeSWAN streznik. Kar
je zame velik dosezek ker prej tega nisem mogel (dobili smo te
NetScreen-Remote kliente, ki podpirajo NAT-T z razliko WinXPjevega
native klienta).

1. A ti si kako disablal IPSec PassThrough v iptables?
2. A mogoce ves, kdaj pride ven NAT-T klient za WinXP (baje je bil ze
zuni, pa so ga skinili dol z WindowsUpdateja ker ni bil kompatibilen z
ostalim IPSec klient-software-om)?
3. Uporabljas certifikate ali PSK? Jaz uporabljam certifikate in me
zanima kaksna je najboljsa varianta:

- imas 1 CA in 1 server-side ter 1 client-side certifikat (per server) - vsi
IPSec
  klienti uporabljajo potem isti client-side certifikat.
- imas 1 CA in 1 server-side certifikat (per server) in vec
client-side certifikatov za vsakega klienta posebej.
- imas n CA-jev (kolikor je streznikov), in vsak CA kreira 1
server-side ter 1 client-side certifikat.

Katero varianto uporabljate ostali in kaksne so prednosti/slabosti
zgoraj nastetih? (No, vem, da je s prvo najmanj dela.)

--
Nejc Skoberne
Grajska 5
SI-5220 Tolmin
E-mail: nejc.skoberne at guest.arnes.si





More information about the lugos-list mailing list