[SAGE-MUC] VPN-Knoten lösen
Michael Schwartzkopff
misch at multinet.de
Di Jul 1 16:50:51 CEST 2008
Hi,
es ist normalerweise tatsächlich unmöglich auf beiden Seiten des IPsec VPN
Tunnels die selben IP Adressen zu verwenden. IPsec verschlüsselt alle
Pakete, die aus dem linken Netz kommen, macht einen neuen Header dran und
schickt sie zum VPN Device des rechten Netzes, der die Pakete wieder
auspackt, entschlüsselt und weiterleitet.
Die Entscheidung, wann einfach geroutet und wann verschlüsselt und geroutet
wird, trifft das VPN Device aufgrund von Security Assosiations (SA), die
beim Tunnelaufbau ausgehandelt werden. Dort steht drin, welche Netze sich
links und rechts befinden.
Falls sich dummerweise doch auf beiden Seiten die gleichen Adressen befinden
geht das nur mit NAT. Das bedeutet entweder viel Auswand (bis zu zwei mal
NAT auf JEDER Seite!) oder herstellerspezifische Erweiterungen. Ich weiss,
dass man solche Spezialtunnel aufbauen kann, wenn sich auf beiden Seiten
Boxen von Check Point befinden.
Eventuell kann ich Dir bei der manuellen Lösung helfen. Siehe auch:
http://www.netfilter.org/documentation/HOWTO//netfilter-double-nat-HOWTO-6.html
Grüße,
Michael.
----- Original Message -----
From: "Wolfgang Stief" <stief at guug.de>
To: <sage-muc at guug.de>
Sent: Tuesday, July 01, 2008 4:39 PM
Subject: [SAGE-MUC] VPN-Knoten lösen
_______________________________________________
SAGE-MUC mailing list
SAGE-MUC at guug.de
http://lists.guug.de/mailman/listinfo/sage-muc