Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 2162 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec on a NATed Interface

yashax
Does anyone have any experience in building VPN tunnels where one end is a NATed interface.

For example:

192.168.0.0 -> 172.32.1.16 -> 208.11.1.1 -INTERNET- 210.11.1.1 


This thread was automatically locked due to age.
Parents
  • 0
    I spent hours looking for a NAT server that supported IPSec, with no luck.
    Even one (Sygate) that claimed it could, failed every one of my attempts to get it working. Would work fine without but as soon as I put the proxy server in the VPN failed to connect.
    I gave up and I am now trying to get the PPTP VPN working instead.

    Recently I came across an article in the Sept 2001 issue of Information Security magazine.

    I quote 
    "IPSec allows systems to encrypt using Encapsulating Security Payload (ESP) protocol and authenticate IP packets using the Authentication Header (AH) protocol. IPSec works fine so long as the two endpoints are using public IP addresses. NAT throws a money wrench into the works because it munges (a technical term?  -sam) headers. IPSec can't always differentiate between NAT header changes and maliciously broken packets, thus making it difficult (or impossible) for network applications to work."

    The whole article, NAT vs. IPSec: The Battle Continues, can be read about halfway down the page at this link...www.infosecuritymag.com
  • 0 in reply to nospamsam
    Thank you Sam.  So is the answer that you you can NOT use IPSec behind the NATed interface?
  • 0 in reply to yashax
    I have not been able to set up IPSec VPNs with NAT.

    It may be possible but all of the information that I have read says it is very difficult and if you can use PPTP instead, you should.

    Take a look at this post from Mike, it might explain things better than I can.

    http://www.astaro.org/cgi/ultimatebb.cgi?ubb=get_topic&f=7&t=000132

    [ 08 November 2001: Message edited by: sdarcy ]

Reply Children
  • 0 in reply to nospamsam
    you can use ipsec with nat. its called agressive mode and both the server and client has to support it.
  • 0 in reply to EaSyToKeR
    I have started to see some documentation of using IKE over UDP to address the IPSec over NAT issues.

    Does anyone have any experience or possibly have gotten it to work in Astaro?

    Any info is greatly appreciated.

    Thanks.
  • 0 in reply to yashax
    I currently have SNAT running on a IPSEC tunnel between 2 sites.  (IPSEC using IKE PSK)  It seems to be working fine. 

    Jim
  • 0 in reply to Jim507
    Just a note:

    Astaro doesn't support the AH Protocol (Authentication Header).

    I too am trying to get Astaro to run IPSEC through a firewall/router/nat.  I've got a Linksys router, which I use to pull up my EVIL pppoe connection.  The linksys router DOES support ipsec passthrough.

    If anyone gets it working... give me a ding, I'll take you for dinner next time you come to Toronto  [:)]
  • 0 in reply to Fazil
    It should work if you have IPSEC passthrough capable equipment.  I'm going to try a Nat-Nat setup with 3com 812 DSL modems and Astaro boxes immediately behind in the modems Nat DMZ.  The PPTP passthrough works, so why not IPSEC?
Unfiltered HTML