Hallo Forum,
ich muss einen IpSec Tunnel zwischen zwei Geräten (Cisco und Linux) aufbauen was eigentlich kein Problem ist. Dazwischen hängt ein Lancom-Gerät, der seine Interneteinwahl per PPTP macht.
Der Lancom macht dann von seiner WAN-IP ein Port-Forwarding für den UDP Port 500 auf den Cisco. ESP wird dann auch automatisch geöffnet. Soweit funktioniert alles ganz gut.
Irgendwann greifen aber irgendwelche Timeouts an der Firewall oder der NAT Tabelle. Nach ca. 2 Min ohne Traffic fliegt wohl der UDP Eintrag raus, ob es nun die Firewall oder NAT ist ist mir unklar.
Ich selbst habe wenig bis gar keine Ahnung von Lancom Geräten und administriere das Gerät auch nicht selbst. Daher suche ich nach Lösungsmöglichkeiten die ich dem Admin vorschlagen kann.
Gibt es grundsätzlich die Möglichkeit die Firewall und das NAT so einzustellen, dass UDP 500 und UDP 4500 1:1 an eine Adresse weitergeleitet werden und auch kein Automatismus für ESP mehr greift? Dann würde NAT-T meiner Router greifen und IKE DPD würde mir etwas Glück die UDP Einträge im NAT offen halten.
Vielen Dank!
Grüße
Christian
Port-Forwarding für ein IPSec VPN
Moderator: Lancom-Systems Moderatoren
-
superduper
- Beiträge: 15
- Registriert: 30 Jan 2006, 13:28
Hi!
Soweit es mir bekannt ist, ist es nicht möglich IPSEC Pakete zu NATten.
Dabei spreche ich nicht von PPPTP o.ä. was oft als "richtiges" IPSEC bezeichnet wird.
Es gibt jedoch Geräte die ein IPSEC Passthrough ermöglichen. Ob Lancom das kann weiss ich leider nicht.
Wichtig ist auch, dass die MTU auf den Endgeräten entsprechend kleiner eingestellt wird (Verhinderung von Fragmentierung). einfach die MTU der Endgeräte (die Geräte, welche die VPN Verbindung herstellen) auf zb. 988 testweise umstellen.
Es ist sehr oft ein Problem das die Pakete fragmentiert werden und deshalb keine IPSEC Verbindung aufgebaut werden kann.
Soweit es mir bekannt ist, ist es nicht möglich IPSEC Pakete zu NATten.
Dabei spreche ich nicht von PPPTP o.ä. was oft als "richtiges" IPSEC bezeichnet wird.
Es gibt jedoch Geräte die ein IPSEC Passthrough ermöglichen. Ob Lancom das kann weiss ich leider nicht.
Wichtig ist auch, dass die MTU auf den Endgeräten entsprechend kleiner eingestellt wird (Verhinderung von Fragmentierung). einfach die MTU der Endgeräte (die Geräte, welche die VPN Verbindung herstellen) auf zb. 988 testweise umstellen.
Es ist sehr oft ein Problem das die Pakete fragmentiert werden und deshalb keine IPSEC Verbindung aufgebaut werden kann.
Hallo superduper,
Gruß
Mario
wirklich? Wer bezeichnet das denn "oft" so?Dabei spreche ich nicht von PPPTP o.ä. was oft als "richtiges" IPSEC bezeichnet wird.
Das kann er sogar gleichzeitig für mehrere IPSec-Verbindungen.Es gibt jedoch Geräte die ein IPSEC Passthrough ermöglichen. Ob Lancom das kann weiss ich leider nicht.
An der MTU muss überhaupt nicht rumgefummelt werden. Und fragmentieren tut heutzutage kein Router mehr.Wichtig ist auch, dass die MTU auf den Endgeräten entsprechend kleiner eingestellt wird (Verhinderung von Fragmentierung).
Gruß
Mario
Hi kiksen,
Wenn du NAT-T verwendest, dann mußt du in jedem Fall die UDP-Haltezeit soweit hochsetzen, daß die oberhalb des DPD-Intervalls und des NAT-T Keep-Alives (20 Sekunden) liegt. Wenn du also das DPD-Intervall auf 30 Sekunden stellst (Minimum), dann muß der UDP-Timeout ca. 35 Sekunden betragen. Den UDP-Timeout stellst du unter IP-Router -> Maskierung -> UDP-Aging ein...
Gruß
Backslash
Das dürfte dann wohl eher an irgendwelchen Idle-Timeouts in den beteiligten VPN-Gateways liegen. Es gibt zwar auch sowohl im der Firewall als auch im NAT einen timeout für UDP (default 20 Sekunden), der aber bei der IPSec-Maskierung gar nicht zuschlägt. Hier wird das Ende der jeweiligen Session nach jeder Menge Kristallkugelschauen und Kaffeesatzlesen herausgefunden. Wenn du DPD machst, dann sollten sie niemals herausaltern (solange das DPD-Intervall kurz genug ist - z.B. 30 Sekunden)Irgendwann greifen aber irgendwelche Timeouts an der Firewall oder der NAT Tabelle. Nach ca. 2 Min ohne Traffic fliegt wohl der UDP Eintrag raus, ob es nun die Firewall oder NAT ist ist mir unklar.
schau mal unter IP-Router -> Maskierung -> Service-Tabelle nach...Gibt es grundsätzlich die Möglichkeit die Firewall und das NAT so einzustellen, dass UDP 500 und UDP 4500 1:1 an eine Adresse weitergeleitet werden
Das ist richtig - dafür greift den der Automatismus der NAT-Traversal Erkennung, da es jede Menge proprietärer Verfahren gibt, um IPSec durch ein NAT zu bekommen - NAT-T ist nur eine davon, aber wenigstens eine Standartisierte...und auch kein Automatismus für ESP mehr greift?
Wie gesagt: DPD kannst du auch ohne NAT-T verwenden und genau das hält die bei der IPSec-Maskierung die Session offen.Dann würde NAT-T meiner Router greifen und IKE DPD würde mir etwas Glück die UDP Einträge im NAT offen halten.
Wenn du NAT-T verwendest, dann mußt du in jedem Fall die UDP-Haltezeit soweit hochsetzen, daß die oberhalb des DPD-Intervalls und des NAT-T Keep-Alives (20 Sekunden) liegt. Wenn du also das DPD-Intervall auf 30 Sekunden stellst (Minimum), dann muß der UDP-Timeout ca. 35 Sekunden betragen. Den UDP-Timeout stellst du unter IP-Router -> Maskierung -> UDP-Aging ein...
Gruß
Backslash