|
|
Besucher 727671
Ansichten 240
Online 0 |
|
|
| Thema |
Verfasser |
Letzte Antwort |
| SNAT mit WIndows? |
Basti ( ---.adsl.alicedsl.de) |
6 Sep 2008 16:10 | Ich habe ein recht seltsames Problem.
Ich baue eine IPSEC Verbindung von einem WindowsXP Client zu einem Linux Server mit OpenSwan auf. Benutzt wird dabei Nat-t da sich der Windows Client hinter einem Cisco Router befindet über den ich keine Kontrolle besitze.
Leider lässt genau dieser Cisco Router keine UDP-Pakete an Port 4500 vom Linuxserver zurück zum Client da auf diesem vermutlich auf diesem port ebenfalls ein Dienst aktiv ist.
Wenn ich jetzt zum beispiel die IP-Adresse des Windows Clients kurz ändere und die Verbindung zum Server aufbauen möchte wird der Cisco in seiner Nattable als erstes den port 4500 benutzen (der ja nicht für den Rückweg funktioniert).
Ändere ich die IP Adresse erneut und starte die Verbindung, wird ein neuer Eintrag in der Nat table des Cisco gemacht der und ein anderer Quellport als 4500 benutzt.
Die Pakete kommen dann ordnungsgemäß zurück und die verbindung funktioniert einwandfrei.
Wie gesagt, ich habe auf den Cisco Router keinerlei einfluss und suche nach einer möglichkeit diesen "workaround" mit dem ändern der ipadresse zu vermeiden.
ich habe mir bereits folgende lösungsansätze überlegt.
1. Man könnte den Quellport direkt am Windows Client ändern (statt 4500, 4501). Unter Linux wäre das kein Problem, wie ich das unter Windows anstellen soll ist mir ein Rätsel.
2. Ich könnte mit Hilfe eines Packet Generators ein UDP Paket mit gespoofter absenderadresse an den VPN-Server schicken um den ersten eintrag in der nat table des Cisco zu forcieren. Das ist allerdings meiner meinung nach schon ein ziemlicher hack und auch nicht ganz so einfach zu realisieren.
Hat vielleicht jemand einen Tip?
Ich habe einerseits mit boardmitteln versucht die verbindung aufzubauen mit hilfe der der ebootis ipsec scripte. Da ich allerdings auch in naher zukunft windows vista unterstützen möchte bin ich mittlerweile zum NCP Secure Entry Client übergegangen. Kann ich vielleicht hier irgendwo in der Konfiguration den Quellport ändern???
Viele Grüße
Basti
|
| ||
[ Zurück ] Um ein neues Thema hinzu zu fügen müssen sie eingeloggt sein.
|
|
|
|
Welche Distribution verwenden Sie?
| |
|
|
|
17 Oct 2008: