Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.

Dismiss

IPsec & Unique source IP

1 view

Skip to first unread message

Nöbel. Thomas

unread,

Feb 21, 2003, 2:51:50 AM2/21/03

Hallo Zusammen,

folgende spannende Frage (hätten die netten Leute, die mir die Frage nach
der unique source IP beantwortet haben das gewusst, hätten sie
wahrscheinlich nicht geantwortet ;-)):

Ich habe eine X1200 mit IPSec im Einstatz, dyn. IP vom Provider sowie ein PC
mit dem Bintec IPSec Software Client, auch dyn. IP (mit der neuen IPSec
Software auf der X1200 tut das auch richtig gut!).
Bei der X1200 habe ich als unique source IP die LAN-IP des Routers
eingetragen, IP-Nat preset entsprechend eingestellt, alles prima soweit.
Wenn sich der PC mit dem Softwareclient mit der X1200 verbinden möchte
funktioniert der Tunnelaufbau usw. auch prima, nur gehen leider keine Daten
durch den Tunnel.
Schalte ich die unique source IP der X1200 ab funktioniert alles
einwandfrei.

Beim Tunnelauf ist mir im debug ipsec ein Unterschied bei der tndst
aufgefallen, je nach dem ob ich mit oder ohne unique source IP arbeite:

debug ipsec (Auszug) mit unique sourec IP:
08:15:58 DEBUG/IPSEC: tnsrc=ipv4(any:0,[0..3]=x.x.x.x)(offizielle IP)
tndst=ipv4(any:0,[0..3]=192.168.2.254)

Daten werden ausgetauscht:
08:20:53 DEBUG/INET: NAT: new incoming session on ifc 10003 prot 50
192.168.2.254:0/80.145.109.29:0 <- x.x.x.x:0 (offizielle IP)
mehr kommt nicht.

debug ipsec (Auszug) ohne unique sourec IP:
08:23:34 DEBUG/IPSEC: tnsrc=ipv4(any:0,[0..3]=x.x.x.x)(offizielle IP)
tndst=ipv4(any:0,[0..3]=80.145.109.29)

Daten werden ausgetauscht:
08:23:37 DEBUG/INET: NAT: new incoming session on ifc 10003 prot 50
80.145.109.29:0/80.145.109.29:0 <- x.x.x.x:0 (offizielle IP)
08:23:37 DEBUG/INET: NAT: new outgoing session on ifc 10003 prot 50
80.145.109.29:0/80.145.109.29:0 -> x.x.x.x:0 (offizielle IP)
hier schickt die X1200 esp-Pakete raus im Gegensatz zu oben.

Kann das Probleme an der unterschiedlichen tndst liegen, dass eine tndst mit
192.168.2.254 als RFC1918 IP nicht funktioniert?
Kann man dagegen etwas tun, z.B. eine bzw. keine unique source IP für IPSec
festlegen oder so?

Heissen Dank!!

Mit freundlichen Grüßen

i.A. Thomas Nöbel Rechenzentrum/Systemtechnik, Datenschutzbeauftragter
--
PMB GmbH
Verwaltung & Technik für AEB GmbH und AFI GmbH, www.aeb.de,
www.afi-stuttgart.de
D-70597 Stuttgart, Julius-Hölder-Str. 39
Tel. +49 711 7 28 42-249, Fax. +49 711 7 28 42-333, noe...@pmbelz.de

-
Diese Mailingliste ist ein Service der TLK Kommunikationssysteme GmbH Muenster.
Bilden Sie sich und Ihre Mitarbeiter weiter, indem Sie eine unserer
Bintec-Schulungen besuchen. Sie erlangen profunde Kenntisse über Konfiguration
und Management.
Nähere Informationen unter http://www.tlk.de
-

0 new messages