VPN: NAT-Traversal aktiviert sich ständig

[Bernie137]

Hallo LANCOM,

es wäre schön, dass wenn man im VPN-Teil die Funktion "NAT-Traversal aktiviert" einmal deaktiviert hat, dass dies auch so bleibt. Leider ist es nach jedem Firmwareupdate wieder aktiviert, ebenso nach Verwendung des Setup-Assistenten zur LAN-LAN Kopplung. Es gibt eingerichtete VPN-Tunnel, die mit aktiviertem NAT-T einfach nicht funktionieren.

Viele Grüße
Bernie

[backslash]

Hi Bernie137,

Leider ist es nach jedem Firmwareupdate wieder aktiviert

Der Wert ist in der Konfiguration im Flash abgelegt und nur, wenn die Konfiguration zurückgesetzt wird (per Konfig-Reset oder "deafult"-Kommand), wird der Defaultwert geladen - und ja: Default ist ein aktiviertes NAT-T

ebenso nach Verwendung des Setup-Assistenten zur LAN-LAN Kopplung.

daß NAT-Traversal nach Einsatz des Wizards aktiviert wird, ist klar, weil das die Methode mit den geringsten Problemen ist - da die NAT-Geräte dazwischen keine Sonderbehandlung für ESP machen müssen, was eh die wenigsten überhaupt halbwegs sinnvoll hinkriegen.

Es gibt eingerichtete VPN-Tunnel, die mit aktiviertem NAT-T einfach nicht funktionieren.

Das kann ich mir jetzt nicht so richtig vorstellen, denn entweder beherrschen beide Seiten NAT-T und handeln das auch aus oder eben nicht - dann wird auch kein NAT-T gemacht. NAT-T wird sowieso nur gemacht, wenn ein NAT zwischen den beteiligten vorhanden ist. Sind beide Seiten direkt erreichbar, so werden die ESP-Pakete nicht in UDP eingepackt...

Gruß
Backslash

[Bernie137]

Hi backslash,

vielen Dank für Deine Antwort.

Das kann ich mir jetzt nicht so richtig vorstellen, denn entweder beherrschen beide Seiten NAT-T und handeln das auch aus oder eben nicht - dann wird auch kein NAT-T gemacht. NAT-T wird sowieso nur gemacht, wenn ein NAT zwischen den beteiligten vorhanden ist. Sind beide Seiten direkt erreichbar, so werden die ESP-Pakete nicht in UDP eingepackt...

Es gibt in der Praxis eingerichtete VPN Tunnel zu Rechenzentren. Diese wollen aus Ihrer Sicht zu den vielen Kunden gar keine echte LAN-LAN-Kopplung im Sinne von echten IP-Netzbeziehungen. Von daher wird auf dem VPN Tunnel im Lancom die Verbindung maskiert (NAT) und das kollidiert nun mal mit NAT-T (Meine Vermutung). Es ist definitiv so, Häckchen drin - diese Verbindungen gehen nicht, Häckchen draußen - diese Verbindungen laufen wieder.

daß NAT-Traversal nach Einsatz des Wizards aktiviert wird, ist klar, weil das die Methode mit den geringsten Problemen ist - da die NAT-Geräte dazwischen keine Sonderbehandlung für ESP machen müssen, was eh die wenigsten überhaupt halbwegs sinnvoll hinkriegen.

Das ist uncool. Da ich mir ja was dabei gedacht habe, es zu deaktivieren. Ich möchte es vergleichen mit Abschaltung des Lancom DHCP-Servers. Wäre echt uncool, würde der auch jedesmal nach Verwendung des Assistenten aktiviert sein bzw. nach Firmware Update. In Bezug auf NAT-T: Man richtet eine neue VPN-Verbindung Q ein und dann laufen die Tunnel A,B,C und D nicht mehr. Dann rufen mich erst mal Kollegen an und die Sucherei geht los.

Der Wert ist in der Konfiguration im Flash abgelegt und nur, wenn die Konfiguration zurückgesetzt wird (per Konfig-Reset oder "deafult"-Kommand), wird der Defaultwert geladen - und ja: Default ist ein aktiviertes NAT-T

Das wäre völlig in Ordnung, dass es als Default (Werkseinstellungen) geladen wird. Mir ist das aber schon mehrmals nach Firmware Updates unter (eigentlich) Beibehaltung der Konfig unter gekommen.

vg Bernie

[backslash]

Hi Bernie137,

Es gibt in der Praxis eingerichtete VPN Tunnel zu Rechenzentren. Diese wollen aus Ihrer Sicht zu den vielen Kunden gar keine echte LAN-LAN-Kopplung im Sinne von echten IP-Netzbeziehungen. Von daher wird auf dem VPN Tunnel im Lancom die Verbindung maskiert (NAT) und das kollidiert nun mal mit NAT-T (Meine Vermutung).

nein, ein NAT, das innerhalb des Tunnels gemacht wird (sprich eine "Extranet-Verbindung") hat keinerlei Einfluß auf das NAT-T, das ja zwischen den beteiligten VPN-Gateways passiert

Es ist definitiv so, Häckchen drin - diese Verbindungen gehen nicht, Häckchen draußen - diese Verbindungen laufen wieder.

dann solltest du dich vertrauensvoll an den Betreiber des Rechenzentrums wenden - er soll entweder auf seinen VPN-Gateways NAT-T abschalten oder den UDP-Port 4500 durch seine Firewall durchlassen. Denn wie gesagt: NAT-T wird zwischen den beteiligten VPN-Gateways ausgehandelt und wenn beide sagen, sie können es und dann noch ein NAT zwischen ihnen liegt, dann wird NAT-T gemacht...

daß NAT-Traversal nach Einsatz des Wizards aktiviert wird, ist klar, weil das die Methode mit den geringsten Problemen ist - da die NAT-Geräte dazwischen keine Sonderbehandlung für ESP machen müssen, was eh die wenigsten überhaupt halbwegs sinnvoll hinkriegen.

Das ist uncool. Da ich mir ja was dabei gedacht habe, es zu deaktivieren. Ich möchte es vergleichen mit Abschaltung des Lancom DHCP-Servers. Wäre echt uncool, würde der auch jedesmal nach Verwendung des Assistenten aktiviert sein bzw. nach Firmware Update. In Bezug auf NAT-T: Man richtet eine neue VPN-Verbindung Q ein und dann laufen die Tunnel A,B,C und D nicht mehr. Dann rufen mich erst mal Kollegen an und die Sucherei geht los.

hier laufen jetzt zwei Interressen gegeneinander: Die einfache Funktionalität, die ein Assistent zur Verfügung stellt und spezielle Konfigurationen, die aufgrund eines Fehlverhaltens einer speziellen Gegenstelle nötig sind...

Du kannst dir den Wizzard aber selbst anpassen...

• Die Beschreibungsdatei des Wizzards liegt im LANconfig-Programmverzeichnis und heißt lanclnln.wiz...
• suche nach VPN_Nat_T und ersetze überall wo es auf "1" gesetzt wird, den Wert durch "0"

Danach wird NAT-T vom Assistenten immer abgeschaltet - Du kannst auch die beiden Zeilen jeweils löschen - dann wird der Wert nicht mehr geändert. Ich hab es gerade ausprobiert und da hat es schon beim ersten Auftauchen funktioniert - aber sicher ist sicher (es sind auch nur vier Stellen).

Das müßtest du halt nach jedem Update von LANconfig wiederholen...

Gruß
Backslash

[Bernie137]

Hallo backslash,

vielen Dank für Deine Antwort.

dann solltest du dich vertrauensvoll an den Betreiber des Rechenzentrums wenden - er soll entweder auf seinen VPN-Gateways NAT-T abschalten oder den UDP-Port 4500 durch seine Firewall durchlassen.

Darauf kann ich leider nicht hoffen. Sie sind nicht sehr kooperativ. Wenn etwas nicht funktioniert, heißt es: Kaufen Sie einen Cisco, den kann unser Rechenzentrum dann konfigurieren.

Du kannst dir den Wizzard aber selbst anpassen...

Die Beschreibungsdatei des Wizzards liegt im LANconfig-Programmverzeichnis und heißt lanclnln.wiz...
suche nach VPN_Nat_T und ersetze überall wo es auf "1" gesetzt wird, den Wert durch "0"


Danach wird NAT-T vom Assistenten immer abgeschaltet - Du kannst auch die beiden Zeilen jeweils löschen - dann wird der Wert nicht mehr geändert. Ich hab es gerade ausprobiert und da hat es schon beim ersten Auftauchen funktioniert - aber sicher ist sicher (es sind auch nur vier Stellen).

Was nicht alles möglich ist . Das hört sich gut an und ist gut zu wissen. Vermutlich werden wir aber eher mit dem Problem leben müssen, denn ich kann nicht alle LANconfig Installationen anpassen (auf meinem Rechner schon).

hier laufen jetzt zwei Interressen gegeneinander: Die einfache Funktionalität, die ein Assistent zur Verfügung stellt und spezielle Konfigurationen, die aufgrund eines Fehlverhaltens einer speziellen Gegenstelle nötig sind...

Hier stellt sich mir jetzt nur die Frage: Wieso möchte LANCOM jedesmal die Funktion "aktiv" setzen? Rechnet LANCOM damit, dass die Kunden das Häckchen immer wieder entfernen?

vg Bernie

[backslash]

Hi Bernie137,

ich hab's mal als Bug eingetragen...

Gruß
Backslash

[Bernie137]

Hi backslash,

Danke!

vg Bernie

[backslash]

Hi Bernie137,

es wird in der nächsten Version (9.04) gefixt sein - da wird der Wizzard das NAT-T nur noch dann anschalten, wenn die VPN-Verbindungsliste noch leer ist

Gruß
Backslash

[Bernie137]

Hi Backslash,

das hört sich prima an und das geht ja flott bei Euch, MERCI!

vg Bernie