[LUG.ro] IPSEC a través de NAT

Hernan G Manavella lugro@lugro.org.ar
Thu, 29 Jul 2004 20:38:44 -0300 

Hola Federico,
No llegó muy bien el esquema de lo que querés hacer, pero si entendí bien, 
vos querés establecer un tunel desde un cliente Win2k que está atrás de un 
dispositivo que hace NAT (Debian), con un gateway IPSec (tambien Linux).
Bueno, si este es el caso, no estás errado, una de las soluciones es 
implementar NAT-T en el gateway, de todas maneras no has dicho si vos 
estás armando ese gw, y con que sofware (distribución, kernel, 
implementacion de ipsec, etc.). Una cosa importante es si estas usando 
IPSec en modo transporte o en mode tunel, por si es en modo transporte 
estas frito, aún no hay implentaciones que sporten NAT-T en ese modo 
(segun lo que yo vi), pero si no estas usando L2TP lo mas probable es que 
uses modo tunnel.
Una solucion mas simple seria armar el tunel entre los dos linux, y 
enrutar el tráfico de las dos LAN´s, sería lo mejor para no complicarte 
mucho.
Saludos.

                                  Hernán G. Manavella
                                  Area Tecnología - División Sistemas
                                  Grupo Asegurador La Segunda
                                  Tel: +54 341 4201047 
                                  J.M. de Rosas 957 - (2000) Rosario
                                  Argentina





"Federico Lazcano" <flazcano@hardtec.com.ar>
Enviado por: lugro-admin@lugro.org.ar
29/07/2004 09:39 a.m.
Por favor, responda a lugro

 
        Para:   <lugro@lugro.org.ar>
        cc: 
        Asunto: [LUG.ro] IPSEC a través de NAT


Gente:

Estoy investigando un poco sobre VPN IPSEC a través de NAT, y necesito una 
mano.

Le estructura es así:


MS W2K ---------------------- Debian Woody ---------- Internet --------- 
Servidor Linux IPSEC ----------------------- Red Local
SSH Sentinel 1.4               NAT (ADSL) (No tengo privilegios 
  administrativos)

La idea es la siguiente:

Conectarme desde el equipo con W2K con SSH Sentinel a la red local del 
otro lado. Pero como estoy saliendo a Internet a través de NAT, es 
imposible establecer la VPN. Por lo que estuve leyendo por ahí, tengo que 
habilitar el soporte para NAT-T (NAT Transversal) en el kernel de mi 
router Debian.

Esto es correcto?

Alguien ha intentado utilizar esta topología?


Saludos,
Federico Lazcano - Soporte Técnico
flazcano@hardtec.com.ar
----------------------------------
Hardtec S.R.L.
Dorrego 2406 - Rosario
TE: 0341-4855556
http://www.hardtec.com.ar 

_______________________________________________
Lugro mailing list
Lugro@lugro.org.ar
http://www.lugro.org.ar/mailman/listinfo/lugro