[LUGOS-SEC] NAT-Traversal

[Rok Pintar]

> Vedno le vec berem o NAT-Traversal patchu. Malce sem gledal, malce sem
> bral, ampak nekako ne razumem kaksne prednosti tocno prinasa in kako
> se ga tocno uporablja. Da, bral sem README ampak - ce komu, ki se na
> zadevo spozna, ni odvec, da bi stvar malce razlozil, ga prav lepo
> prosim, da to stori. Pa ne zamert posta na dve listi.

Sicer te stvari poznam iz drugega sveta (Cisco), ampak teorija je itak
ista. NAT Traversal pomeni, da so IPSec paketi enkapsulirani v TCP ali
UDP (v zadnjem casu se uveljavlja UDP port 4500) in tako nimajo
problemov s tem, da gre paket preko kaksnega NATa/PATa (se pravi, da gre
preko kaksne maskerade, ce uporabljamo malce drugacno terminologijo).
Seveda morata obe strani to podpirati (tako odjemalec kot "streznik", s
katerim vzpostavljas IPSec povezavo), uporabno je pa predvsem v
situacijah, ko imas nekje na poti od odjemalca do streznika napravo, ki dela
prej omenjeno maskerado. Skratka, VPN ti potem dela tudi, ce imas kaksno
glupo napravo, ki dela NAT, ne zna pa kaksnega IPSec passthrough (Linux
npr. to pozna). Za NAT Traversal se obe napravi ponavadi domenita znotraj 
ISAKMP dela pogajanj o seji...
ROK