forum.opennet.ru - "Не работает IPSEC через NAT IPTABLES" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Не работает IPSEC через NAT IPTABLES"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Не работает IPSEC через NAT IPTABLES"		+/–
Сообщение от UNO (ok) on 08-Июл-09, 22:36
Не получается подключиться по ipsec через nat из локалки к внешнему серверу. В логах вижу несколько udp пакетов на 500 порт сервера и с него. Потом несколько ESP пакетов Только на сервер. И всё. Клиентская прога (под WinXP) установки ipsec туннеля говорит, что соединение установленно успешно. Но передачи данных по туннелю нет. В iptbls форвардятся udp 500 и протокол ESP в обе стороны. Snat-ится только udp, а esp проходит напрямую. Ядро-2.6.17
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Не работает IPSEC через NAT IPTABLES, сабакка, 10:36 , 09-Июл-09, (1)
Не работает IPSEC через NAT IPTABLES, ilia kuliev, 13:55 , 09-Июл-09, (2)

Не работает IPSEC через NAT IPTABLES, ALex_hha, 13:59 , 09-Июл-09, (3)

Не работает IPSEC через NAT IPTABLES, UNO, 20:03 , 09-Июл-09, (4)

Не работает IPSEC через NAT IPTABLES, UNO, 19:09 , 10-Июл-09, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Не работает IPSEC через NAT IPTABLES" +/–

Сообщение от сабакка on 09-Июл-09, 10:36

google.com
ipsec nat ports
и логи надо смотреть

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Не работает IPSEC через NAT IPTABLES" +/–

Сообщение от ilia kuliev (??) on 09-Июл-09, 13:55

>Не получается подключиться по ipsec через nat из локалки к внешнему серверу.
>
>В логах вижу несколько udp пакетов на 500 порт сервера и с
>него. Потом несколько ESP пакетов Только на сервер. И всё. Клиентская
>прога (под WinXP) установки ipsec туннеля говорит, что соединение установленно успешно.
>Но передачи данных по туннелю нет.
>В iptbls форвардятся udp 500 и протокол ESP в обе стороны. Snat-ится
>только udp, а esp проходит напрямую.
>Ядро-2.6.17
Соединение установлено успешно означает, что отработал ISAKMP. А что пакеты не ходят - объяснение очень простое. Очень упрощенно излагая - NAT перезаписывает IP заголовки ESP пакетов. Поскольку эти заголовки участвуют в создании хэша, он не сходится. А такие пакеты считаются невалидными, и отбрасываются.
Для IPSec через NAT существует такая вещь как IPSec NAT Traversal, это инкапсуляция ESP в UDP; поищите в этом направлении.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Не работает IPSEC через NAT IPTABLES" +/–

Сообщение от ALex_hha (ok) on 09-Июл-09, 13:59

>[оверквотинг удален]
>>В iptbls форвардятся udp 500 и протокол ESP в обе стороны. Snat-ится
>>только udp, а esp проходит напрямую.
>>Ядро-2.6.17
>
>Соединение установлено успешно означает, что отработал ISAKMP. А что пакеты не ходят
>- объяснение очень простое. Очень упрощенно излагая - NAT перезаписывает IP
>заголовки ESP пакетов. Поскольку эти заголовки участвуют в создании хэша, он
>не сходится. А такие пакеты считаются невалидными, и отбрасываются.
>Для IPSec через NAT существует такая вещь как IPSec NAT Traversal, это
>инкапсуляция ESP в UDP; поищите в этом направлении.
Он же написал, что не НАТит esp протокол!
http://www.ipsec-howto.org/x304.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Не работает IPSEC через NAT IPTABLES" +/–

Сообщение от UNO (ok) on 09-Июл-09, 20:03

Сравнил логи снятые с внешн. и внутр. и-фейса гейта и лог прямого соединения(без гейта). Всё одинаково включая исходящий пакет esp. Разница начинается на внеш. и-фейсе, исходящий esp пакет, пришедший на внутр. и-фейс, не уходит с внешн. Соотв-но, нет и ответа от сервера. Причина- обратный адрес класса С или что то другое?
Смотрел ссылку, как я понял, речь идёт о капсуляции esp в udp:4500 на концах туннеля. А они находятся вне моего контроля.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Не работает IPSEC через NAT IPTABLES" +/–

Сообщение от UNO (ok) on 10-Июл-09, 19:09

Проблема решилась.
Спасибо всем за помощь!
Я поговорил с юзером, который пользуется ВПН. У него в клиенте обнаружилась опция-Transparent Tunneling: IPSec over UDP(NAT/PAT) которая совместно с SNAT-ированием UDP:500 и ESP протокола дала положительный результат. Что несколько странно, т.к. из всей инфы которую я нашёл следует, что NAT-ирование ESP делает невозможной работу IPSec без капсуляции ESP в UDP:4500.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Не работает IPSEC через NAT IPTABLES"		+/–
Сообщение от сабакка on 09-Июл-09, 10:36
google.com ipsec nat ports и логи надо смотреть
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Не работает IPSEC через NAT IPTABLES"		+/–
Сообщение от ilia kuliev (??) on 09-Июл-09, 13:55
>Не получается подключиться по ipsec через nat из локалки к внешнему серверу. > >В логах вижу несколько udp пакетов на 500 порт сервера и с >него. Потом несколько ESP пакетов Только на сервер. И всё. Клиентская >прога (под WinXP) установки ipsec туннеля говорит, что соединение установленно успешно. >Но передачи данных по туннелю нет. >В iptbls форвардятся udp 500 и протокол ESP в обе стороны. Snat-ится >только udp, а esp проходит напрямую. >Ядро-2.6.17 Соединение установлено успешно означает, что отработал ISAKMP. А что пакеты не ходят - объяснение очень простое. Очень упрощенно излагая - NAT перезаписывает IP заголовки ESP пакетов. Поскольку эти заголовки участвуют в создании хэша, он не сходится. А такие пакеты считаются невалидными, и отбрасываются. Для IPSec через NAT существует такая вещь как IPSec NAT Traversal, это инкапсуляция ESP в UDP; поищите в этом направлении.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Не работает IPSEC через NAT IPTABLES"		+/–
	Сообщение от ALex_hha (ok) on 09-Июл-09, 13:59
	>[оверквотинг удален] >>В iptbls форвардятся udp 500 и протокол ESP в обе стороны. Snat-ится >>только udp, а esp проходит напрямую. >>Ядро-2.6.17 > >Соединение установлено успешно означает, что отработал ISAKMP. А что пакеты не ходят >- объяснение очень простое. Очень упрощенно излагая - NAT перезаписывает IP >заголовки ESP пакетов. Поскольку эти заголовки участвуют в создании хэша, он >не сходится. А такие пакеты считаются невалидными, и отбрасываются. >Для IPSec через NAT существует такая вещь как IPSec NAT Traversal, это >инкапсуляция ESP в UDP; поищите в этом направлении. Он же написал, что не НАТит esp протокол! http://www.ipsec-howto.org/x304.html
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Не работает IPSEC через NAT IPTABLES"		+/–
	Сообщение от UNO (ok) on 09-Июл-09, 20:03
	Сравнил логи снятые с внешн. и внутр. и-фейса гейта и лог прямого соединения(без гейта). Всё одинаково включая исходящий пакет esp. Разница начинается на внеш. и-фейсе, исходящий esp пакет, пришедший на внутр. и-фейс, не уходит с внешн. Соотв-но, нет и ответа от сервера. Причина- обратный адрес класса С или что то другое? Смотрел ссылку, как я понял, речь идёт о капсуляции esp в udp:4500 на концах туннеля. А они находятся вне моего контроля.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Не работает IPSEC через NAT IPTABLES"		+/–
	Сообщение от UNO (ok) on 10-Июл-09, 19:09
	Проблема решилась. Спасибо всем за помощь! Я поговорил с юзером, который пользуется ВПН. У него в клиенте обнаружилась опция-Transparent Tunneling: IPSec over UDP(NAT/PAT) которая совместно с SNAT-ированием UDP:500 и ESP протокола дала положительный результат. Что несколько странно, т.к. из всей инфы которую я нашёл следует, что NAT-ирование ESP делает невозможной работу IPSec без капсуляции ESP в UDP:4500.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору