NAT Traversal

[PhoenixG36]

Hallo,
ich würde gerne auf meinen SBS 2003 Server von Microsoft per VPN zugreifen. Ist ja auch nicht so schwer. Leider geht das in verbindung mit der FBF nur per PPTP und da dies ja nicht mehr so sicher ist, würde ich sehr gerne auf L2TP umsteigen. Leider geht aber da die Sicherheitsaushandlung nicht. Weil die Pakete verworfen werden. Einzige Lösung ist das man am Router, also der FBF, NAT Traversal aktiviert. Aber leider ist das standartmäßig nicht möglich. Kennt jemand eine Lösung für das Problem???

MFG

 

[fritzchen]

ich verstehe nur Bahnhof, was jedoch an meinen beschränkten Kenntnissen liegt... Funktioniert es nicht mir der neuen "exposed host" Einstellung?

 

[aerox-r]

PPTP = Point-to-Point Tunneling Protocol (in CH oft noch Standard [statt PPPoE])

Was PhoenixG36 aber meint, ist VPN per Layer 2 Tunneling Protocol. Und damit hat die FBF wegen dem Challenge Handshake Authentication Protocol und IPsec (noch) Schwierigkeiten.

 

[PhoenixG36]

Genau, ich würde gerne wissen ob es möglich ist die Firmware der FBF um NAT Traversal zu erweitern?

 

[fritzchen]

aha

hier tummeln sich ja Leute, die es geschafft haben den Kernel zu ändern, von daher ist es doch bestimmt möglich.
Ich schlage Dir also vor, dass Du mal zusammen trägst, was man dafür braucht, ob Linux das kann und dann finden sich bestimmt Leute, die dir sagen können wie Du aus den Einzelteilen ein ganzes machen kannst

 

[aerox-r]

Genau, ich würde gerne wissen ob es möglich ist die Firmware der FBF um NAT Traversal zu erweitern?

Wenn Du der FBF sowas hier beibringen kannst:

 

[PhoenixG36]

OK, wenn das Hilft, werde ich mal ein paar Links postern:

Infos zu Nat Traversal
Umsetzung an einer Uni

Hoffe das hilft etwas weiter :?:

 

[Chili]

Hallo PhoenixG36!

Wäre es nicht ausreichend die VPN-Ports auf den SBS2003 durchzureichen?

Bei mir sieht das so aus:

Bez. Protok Port an IP-Adresse an Port
VPN_1 TCP 1723 192.168.178.250 1723
VPN_2 UDP 500 192.168.178.250 500
VPN_3 ESP 192.168.178.250
VPN_4 GRE 192.168.178.250
VPN_5 UDP 1701 192.168.178.250 1701

Gruß Chili

 

[PhoenixG36]

das hab ich schon alles versucht. Aber leider ohne Erfolg.
Mit PPTP gehts auf anhieb, aber wenn ich auf L2TP umstelle kommt nur Fehler DFÜ 792: Der L2TP-Verbindungsversuch ist fehlgeschlagen, da die Sicherheitshashandlung das Zeitlimit überschritten hat.

 

[Chili]

Welche Ports hast du benutzt?

Das schreibt MS dazu:
IPsec NAT-T- und Firewall-Regeln
Da die Unterstützung für die IPsec NAT-T-Funktionalität auf IETF RFC 3193 und Version 2 der ursprünglichen IETF-NAT-T Internet Drafts basiert, müssen Sie in den Firewall-Regeln die folgenden Ports und Protokolle öffnen bzw. zulassen, damit diese Dienste durch eine Firewall ausgeführt werden können:
• Internet Key Exchange (IKE) – UDP-Port 500
• IPsec NAT-T – UDP-Port 4500
• Encapsulating Security Payload (ESP) – IP-Protokoll 50

Gruß Chili

 

[TWELVE]

Ähm...der Router muß kein NAT Traversal unterstützen, sondern der Server und der Client.Habe hier einen Cisco 4.6 Client mit IPSEC durch einen alten Router sowie die FBF am laufen, geht hervorragend.Das Problem ensteht durch das Verändern der Pakete durch den Router beim NATen, und genau das soll NAT-T verhindern.Da ein VPN Tunnel immer zwischen Client und Server aufgebaut wird, und der Router in der Mitte in der Mitte hängt, kann er dafür nichts tun.Das ist allein Sache des Servers und des Clients.Was anderes wäre es, wenn der Router selber der VPN Server wäre.Aber hier geht es ja um einen W2003 Server als VPN Server

Leider geht das in verbindung mit der FBF nur per PPTP

Stimmt soweit, weil man das entsprechende Protokoll nicht weiterleiten kann ( Protokoll 50 wenn ich recht erinnere).

Aber selbst wenn die FBF das Protokoll weiterleiten würde, würde es trotzd dem nicht funktionieren.
Hatte das gleiche Problem, nutze einen Windows PPTP Server, um einen NAT Router vom WLAN aus zu überwinden, und da hatte ich mal testweise auf L2TP umgestellt, was dann genau wie bei Dir nicht ging.

Das nur PPTP geht, hat mit dem Server zu tun, da ein L2TP Server nicht so schnell aufgesetzt ist, wie ein PPTP Server.Hab es gerade die Tage mal gemacht, ist ein Riesenaufwand mit Zertifikaten usw., hab dann die Variante mit pre-shared Key genommen, das war schon anstrengend genug.Es muß eine IP Sicherheitsrichtlinie erstellt werden und verschiedene Änderungen an der Registry vorgenommen werden.War mir alles zu stressig, habe dann OpenVPN genommen, was nicht unbedingt einfacher ist, aber dafür habe ich dann die volle Kontrolle darüber.

Am einfachsten siehst Du das Problem, wenn Du Dich mal von einem LAN PC aus per L2TP zu Deinem Server verbindest.Das geht dann nämlich genausowenig und so bin ich dann auch draufgekommen, das es nicht am Router liegt.

Grüße

TWELVE

 

[PhoenixG36]

Ah super! Das mit dem NAT-T hab ich auch gelsen, dachte das kommt nur zum zug, wenn man auch den RAS-und Routing von MS neutzt. Weil bei mir hat es erstmal nix gebracht mit Port 4500.
Hast du die Infos mit dem Einrichten irgendwo als Link?

 

[Chili]

Microsoft Knowledge Base: 818043

 

[TWELVE]

Müßte ich mal nachsehen.Da gibt es einen Artikel in der Knowledgebase von MS.Aber bitte beachten, das ich meinen Text nochmal korrigiert hab, nachdem ich mir das nochmal durch den Kopf hab gehen lassen.Und zwar ist es richtig, das die FBF eingehendes IPSEC nicht unterstützt , und zwar deshalb, weil das für IPSEC notwendige Protokoll 50/51 nicht weitergeleitet wird ( es gibt keine Möglichkeit, dies einzustellen ).Ich habe allerdings ein solches VPN durch einen alten Digitus Router zum Laufen bekommen, und der hat auch keine Prot-50/51 Weiterleitungs-Einstellung.Manche Router leiten es weiter, auch wenn es keine explizite EInstellmöglichkeit dafür gibt.
Da die FBF dies nicht zu tun scheint, sieht das schlecht aus


Grüße

TWELVE

 

[TWELVE]

Also wenn ich mich recht erinnere, dann brauchst Du folgende Portweiterleitungen für IPCSEC NAT-T:

° UDP 500
° UDP 4500

Damit muß kein Protokoll 50/51 ( AH/ESP) mehr unterstützt werden, da die ganze Sache in UDP Pakete auf Port 4500 eingepackt wird.Port 500 ist für Key Exchange und Port 4500 für die UDP verpackten IPSEC Pakete.

Der oben angegebene KB Artikel wird Dich bezüglich des Servers nicht weiterbringen, es sei denn, Du hast schon IP-Sicherheitsrichtlinien erstellt und einen pre-shared Key eingestellt.

Grüße

TWELVE

 

[Chili]

Hallo TWELVE,

und zwar deshalb, weil das für IPSEC notwendige Protokoll 50/51 nicht weitergeleitet wird ( es gibt keine Möglichkeit, dies einzustellen ).

Das Protokoll 50/51 ist doch ESP, und das lässt sich in der Portfreigabe der FB einstellen. Oder liege ich da falsch?

Gruß Chili

 

[TWELVE]

So, hier isser:

http://support.microsoft.com/kb/240262

Das ist sozusagen die Lite Variante mit preshared Key, alles andere erfordert Zertifikate.So und jetzt kommt noch der Zeigefinger, das das ganze mit preshared Keys als nicht so sicher gilt wie mit Zertifikaten.

Siehe auch hier:

http://www.bintec.de/de/solution/security/vpn/pdf/WP_VPN_Preshared_Keys.pdf


Grüße

TWELVE

 

[TWELVE]

Das Protokoll 50/51 ist doch ESP, und das lässt sich in der Portfreigabe der FB einstellen. Oder liege ich da falsch?

Da haste *fast* recht...50 ist ESP und 51 ist AH...weiß auch nicht wie ich darauf gekommen bin, hatte nur GRE im Hinterkopf.Ich weiß auch nicht, bin irgendwie strubbelig im Kopf heute...

Für die Authentifizierung wäre aber trotzdem AH erforderlich...

Edit: ähm...nicht mein Tag heute...also AH geht ja nicht mit NAT, deswegen braucht man es auch nicht weiterleiten...

Also man müßte dann IPSEC/ESP ohne AH verwenden, oder noch besser, IPSEC NAT-T über UDP 4500.


Grüße

TWELVE

 

[PhoenixG36]

Also schon mal vielen Dank für die Hilfe. Ich dachte bis jetzt immer, es wäre ein Problem von der FBF. Registry ist kein problem, Prots auch nicht. Aber die Sicherheitsrichtlinien werde ich heute nicht mehr anpassen ;-)
Preshared Key würde mir erstmal reichen, wenn es den endlich mal geht ;-)
Das mit den Zertifikaten und einer eigenen CA kann man ja dann immer noch machen.

 

[TWELVE]

Das mit den Zertifikaten und einer eigenen CA kann man ja dann immer noch machen.

Ja, aber vielleicht schaust Du Dir mal OpenVPN an.Ist jetzt auch nicht unbedingt was für kurz vorm ins Bett gehen, aber zumindest weniger Aufwand als mit diesem ipsec Geraffel.Und es kann auch Bridging, sprich Layer-2 Pakete über den Tunnel transportieren.

Grüße

TWELVE