IPSec on a NATed Interface

I spent hours looking for a NAT server that supported IPSec, with no luck.
Even one (Sygate) that claimed it could, failed every one of my attempts to get it working. Would work fine without but as soon as I put the proxy server in the VPN failed to connect.
I gave up and I am now trying to get the PPTP VPN working instead.

Recently I came across an article in the Sept 2001 issue of Information Security magazine.

I quote 
"IPSec allows systems to encrypt using Encapsulating Security Payload (ESP) protocol and authenticate IP packets using the Authentication Header (AH) protocol. IPSec works fine so long as the two endpoints are using public IP addresses. NAT throws a money wrench into the works because it munges (a technical term?  -sam) headers. IPSec can't always differentiate between NAT header changes and maliciously broken packets, thus making it difficult (or impossible) for network applications to work."

The whole article, NAT vs. IPSec: The Battle Continues, can be read about halfway down the page at this link...www.infosecuritymag.com

I spent hours looking for a NAT server that supported IPSec, with no luck.
Even one (Sygate) that claimed it could, failed every one of my attempts to get it working. Would work fine without but as soon as I put the proxy server in the VPN failed to connect.
I gave up and I am now trying to get the PPTP VPN working instead.

Recently I came across an article in the Sept 2001 issue of Information Security magazine.

I quote 
"IPSec allows systems to encrypt using Encapsulating Security Payload (ESP) protocol and authenticate IP packets using the Authentication Header (AH) protocol. IPSec works fine so long as the two endpoints are using public IP addresses. NAT throws a money wrench into the works because it munges (a technical term?  -sam) headers. IPSec can't always differentiate between NAT header changes and maliciously broken packets, thus making it difficult (or impossible) for network applications to work."

The whole article, NAT vs. IPSec: The Battle Continues, can be read about halfway down the page at this link...www.infosecuritymag.com

Thank you Sam.  So is the answer that you you can NOT use IPSec behind the NATed interface?

I have not been able to set up IPSec VPNs with NAT.

It may be possible but all of the information that I have read says it is very difficult and if you can use PPTP instead, you should.

Take a look at this post from Mike, it might explain things better than I can.

http://www.astaro.org/cgi/ultimatebb.cgi?ubb=get_topic&f=7&t=000132

[ 08 November 2001: Message edited by: sdarcy ]

you can use ipsec with nat. its called agressive mode and both the server and client has to support it.

I have started to see some documentation of using IKE over UDP to address the IPSec over NAT issues.

Does anyone have any experience or possibly have gotten it to work in Astaro?

Any info is greatly appreciated.

Thanks.

I currently have SNAT running on a IPSEC tunnel between 2 sites.  (IPSEC using IKE PSK)  It seems to be working fine. 

Jim

Just a note:

Astaro doesn't support the AH Protocol (Authentication Header).

I too am trying to get Astaro to run IPSEC through a firewall/router/nat.  I've got a Linksys router, which I use to pull up my EVIL pppoe connection.  The linksys router DOES support ipsec passthrough.

If anyone gets it working... give me a ding, I'll take you for dinner next time you come to Toronto  [:)]

It should work if you have IPSEC passthrough capable equipment.  I'm going to try a Nat-Nat setup with 3com 812 DSL modems and Astaro boxes immediately behind in the modems Nat DMZ.  The PPTP passthrough works, so why not IPSEC?