Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Re: VPN pass-through by IPFilter/ipnat?

1 view
Skip to first unread message

Yasushi Shinjo

unread,
Aug 21, 2004, 6:38:22 AM8/21/04
to
新城@筑波大学情報です。こんにちは。

In article <ul8k6vt...@pine.yorie.netside.co.jp>
MOCHIDA Shuji <moc...@netside.co.jp> writes:
> 持田@NETside です。
> 最近のいわゆる「ブロードバンドルーター」に「VPN パススルー」なる
> 機能が付いています。NAPT のかかった内側から PPTP や IPsec が
> 使える、ということで、ポート多重のできない、IP 以外のプロトコルが
> 通るようになっています。これは、具体的にはどうやって実現しているので
> しょうか?

> Web で単語を検索してみた限りでは、たいていは PPTP はマルチで、IPsec は
> 1 セッションだけできる、ということしかわかりませんでした。

IPsec は、1個だけなら出きるというのは、原理的にそうかなあと
思いました。内側は、NAT といっても IP アドレスは固定ですよね。
外側に来た IPsec のパケットを、全部内側のその1個のコンピュー
タに投げればいいから。arp で MAC アドレス調べて。

PPTP は、RFC 2637 の Enhanced GRE header の Call ID で区別で
きるかも。ただ同じ LAN の中でぶつからないという保証はないだ
ろうから、ぶつかったら終りかも。

------------------------------------------------------------
4.1. Enhanced GRE header

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|C|R|K|S|s|Recur|A| Flags | Ver | Protocol Type |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Key (HW) Payload Length | Key (LW) Call ID |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Sequence Number (Optional) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Acknowledgment Number (Optional) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
------------------------------------------------------------

> IPFilter/ipnat 等で、同様の機能を実現できるでしょうか?

この GRE ヘッダの上についている IP Header を書き換えるという
ことですね。分かりません。

\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報       \\

MOCHIDA Shuji

unread,
Aug 23, 2004, 7:10:26 AM8/23/04
to

持田@NETside です。フォローありがとうございます。

> IPsec は、1個だけなら出きるというのは、原理的にそうかなあと
> 思いました。内側は、NAT といっても IP アドレスは固定ですよね。
> 外側に来た IPsec のパケットを、全部内側のその1個のコンピュー
> タに投げればいいから。arp で MAC アドレス調べて。

そうですね、「VPN パススルー」をうたっている製品だと、2 つめが
ちゃんと断られて、1 つめが使わなくなってしばらくすると別のが
使えるようになる、とかするみたいです。(違うのかな、ひょっとして..)
一応、IKE の様子を監視してるんでしょうかね...

> PPTP は、RFC 2637 の Enhanced GRE header の Call ID で区別で
> きるかも。ただ同じ LAN の中でぶつからないという保証はないだ
> ろうから、ぶつかったら終りかも。

ああ、なるほど、プライベート IP と Call ID のペアを覚えておけば
内側へ振り分けることができるわけですね、勉強になります。

>> IPFilter/ipnat 等で、同様の機能を実現できるでしょうか?
>
> この GRE ヘッダの上についている IP Header を書き換えるという
> ことですね。分かりません。

Unix あたりでそういうことできるのはないんですかね..

--
持田 修司 NETside Technologies Inc.
-- Equal Opportunity for All Good Architectures, NetBSD. --

0 new messages