Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

ipsec + nat-t

39 views
Skip to first unread message

Tasslehoff Burrfoot

unread,
Oct 16, 2009, 7:01:21 PM10/16/09
to
Salve a tutti, avrei la necessitᅵ di implementare una vpn ipsec per
collegarmi alla rete di un cliente.
Purtroppo il cliente in questione non transige e non c'ᅵ verso di
convincerlo della bontᅵ di OpenVPN (che ᅵ tanto comodo via tcp con
certificati... sigh...).

Il cliente ha giᅵ una appliance vpn posta in DMZ con assegnato ip
pubblico sull'interfaccia esposta a web, lato mio invece la situazione ᅵ
piᅵ complessa.
La rete sta dietro un firewall iptables connesso su una interfaccia alla
rete interna (di cui ᅵ il gateway per il web), l'altra interfaccia ᅵ
connessa ad un router Cisco serie 17xx fornito dal provider (Fastweb)
sul quale non abbiamo alcun accesso ne possibilitᅵ di controllo.
La connessione che abbiamo con Fastweb comprende un ip statico, che perᅵ
non ᅵ assegnato all'interfaccia fisica del nostro firewall, ma ᅵ
assegnato a chissᅵ quale router perso nel marasma della infrastruttura
Fastweb, in sostanza siamo dietro NAT.

Il server VPN che dovrei implementare si trova dentro la nostra lan
aziendale, se dovessi esporre qualche servizio tramite nat questo
verrebbe sostanzialmente nattato due volte, una sul nostro firewall e
una di default da Fastweb per essere esposto con il nostro ip pubblico.
Per capirci meglio ho fatto un piccolo schemino che potete trovare qui
--> http://www.pctunerup.com/up//results/_200910/20091017010059_vpn.png

Ora, da quanto ne so per far passare una VPN Ipsec via NAT si deve
piangere un po' a causa del protocollo ESP, ho letto qua e la che ᅵ cmq
possibile tramite nat traversal.
Il problema ᅵ farlo nel modo piᅵ semplice e indolore.

Qualcuno sa se ᅵ possibile implementare questa vpn usando Zeroshell o
simili e si ᅵ trovato in situazioni simili?

Grazie :)

--

Tasslehoff Burrfoot

http://tasslehoff.burrfoot.it
------------------------
public PGP key block at
http://gioco.net/pgpkeys
------------------------
Ho visto oscuri universi spalancarsi
Dove neri pianeti ruotano senza meta...
Dove ruotano nell'orrore invisibile,
Privi di consapevolezza, splendore o nome...

Tasslehoff Burrfoot

unread,
Oct 16, 2009, 7:12:23 PM10/16/09
to
Scusate, mi sono accorto ora di un piccolo refuso, la rete interna
aziendale ᅵ ovviamente la 192.168.200.0/24 (non 192.168.0.0/24).
A scanso di equivoci ;)

Chino

unread,
Oct 26, 2009, 9:33:37 AM10/26/09
to

> Ora, da quanto ne so per far passare una VPN Ipsec via NAT si deve

> piangere un po' a causa del protocollo ESP, ho letto qua e la che � cmq
> possibile tramite nat traversal.
> Il problema � farlo nel modo pi� semplice e indolore.
>
> Qualcuno sa se � possibile implementare questa vpn usando Zeroshell o
> simili e si � trovato in situazioni simili?
>
> Grazie :)
>
> --


Non ho capito bene qual � il problema: come hai detto tu stesso ti basta
permettere il NAT-T su OpenVPN.
Non conosco il software, ma credo si tratti di una piccola modifica al file
di configurazione, non c'� da fare granch�.


Stefano S.

unread,
Nov 1, 2009, 7:26:27 AM11/1/09
to
Il Mon, 26 Oct 2009 14:33:37 +0100, Chino ha scritto:
> Non ho capito bene qual è il problema: come hai detto tu stesso ti basta

> permettere il NAT-T su OpenVPN.

openvpn non usa ipsec, quindi è praticamente immune ai problemi che hanno
introdotto l'uso del nat-t

ciao

0 new messages