NAT-T

The Internet Drafdt for NAT T was just updated.  I would recommend waiting until after the IETF meeting in 2 weeks in Japan.

I am NOT going to this session, it is the week after IEEE 802 in Vancouver, and this is NOT a good time to be away from the family for 2 weeks.....

However, I can report back here what I hear is discused about NAT-T at the session.  Im Minneapolis back in March, there were a number of issues with NAT-T.  Hopefully the new draft addresses them.

Hi there, 

We are aware that NAT-T is a nice feature.
Because there is no good implementation for FreeS/WAN so far, we are sponsoring an Open Source Developer Yon Uriarte implementing it.

If you monitor the FreeS/WAN mailinglist you will find 2 or 3 patches enabling NAT-T for FreeS/WAN.

However NAT-T is a very complex implementation into FreeS/WAN and not stable enough yet to implement it into ASL.
If it becomes stable in the future, we will add it to ASL. 
But till than, sorry guys.

kind regards
Gert

Hi there, 

We are aware that NAT-T is a nice feature.
Because there is no good implementation for FreeS/WAN so far, we are sponsoring an Open Source Developer Yon Uriarte implementing it.

If you monitor the FreeS/WAN mailinglist you will find 2 or 3 patches enabling NAT-T for FreeS/WAN.

However NAT-T is a very complex implementation into FreeS/WAN and not stable enough yet to implement it into ASL.
If it becomes stable in the future, we will add it to ASL. 
But till than, sorry guys.

kind regards
Gert

thnaks for the swift reply gert...

let me ask you something else then..if nat-t is an issue...how would you suggest i setup remote users who need to connect to the firewall and are on home networks with nat routers?

does using a dmz work?
do certain nat devices handle ipsec better than others...
if nat-t will not be implemented for a while can you atleast provide us with a temp. solution or options for our customers?

asher

gert....one more quick question...
have you seen this??

http://open-source.arkoon.net/

comments?

thanks

asher

   [:O]
 
 [size="1"][ 04 July 2002, 14:09: Message edited by: asher ][/size]

IPSEC behind NAT should work with some Routers.
See www.nexland.com or buy an expensive Cisco that prolly has this feature.  [:)] 
Feature needed is called IPSEC Passthrough or Multiple IPSEC Passthrough.
The Router handles the session...dunno how.  [:)] 
NATP (nat/pat)simulateously. (read on nexland site)

Bernd

let me refine my original question and pose another one....

first i just want to clarify...my remote roadwarrior users are connecting using ssh client and they are behinf a nat 'home routing' device...

Now i was thinking...while i originally asked about nat-t on the firewall i guess what i really need is nat-t in SSH!! (perhaps I really need it on both since ssh does indeed do nat-t but it specifies that this will only work if the "otherside" supports it?!) 

Hmm...this is getting more interesting day by day

    [;)]
 
 [size="1"][ 04 July 2002, 21:57: Message edited by: asher ][/size]

until now the easiest solution is to change the routers/gateways out with ones that support IPSec/X509 Certs. After that simply upload the Certs on both sides.  A bit of work but a fairly simple solution so that I can check my Email from home.

my question is about the licensing? if i install an Astaro at my home and use it to connect to my company network, how does that fit into the licensing scheme?

Here is what I asked SSH.

----------- cut -----------
Question about NAT-T

There seems to be a discussion going on as to what this sentence means.

Chapter 7 IPSec-Protected Connections pg. 47

"It is performed only if the other end also supports it".

so the basic network configuration is:

Host (1a)  Internal Network (2a)  Gateway (3a)  Internet (4)  Gateway (3b)  Internal Network (2b)  Host (1b) (with SSH)

assuming that both internal networks use private addresses. which gateways need NAT-T?

The way we are reading this sentence if we want to connect to Host (1a) from Host (1b) then our Gateway (3a) needs NAT-T however Gateway (3b) does not.  Or is the otherside Gateway (3b)?

Thx in advance.
 
 [size="1"][ 05 July 2002, 04:03: Message edited by: Tmor ][/size]

[quote]Originally posted by asher:
first i just want to clarify...my remote roadwarrior users are connecting using ssh client and they are behinf a nat 'home routing' device...

I do this all the time when I am on support calls and have to get back to my network, but my SSH server is not NATed on my end.  Depending on the remote setup, sometimes it just works, sometimes I have to use SOCKs to get out the remote NAT.

Now i was thinking...while i originally asked about nat-t on the firewall i guess what i really need is nat-t in SSH!! (perhaps I really need it on both since ssh does indeed do nat-t but it specifies that this will only work if the "otherside" supports it?!) 

On your end you could set up PNAT for an SSH server behind your firewall.  SSH works well this way.  

I would like to get rid of the SSH server and just use ASL to terminate the SSH tunnel, but it does not work with 2.0 and I am not ready to move to 3.2 (and still do not know if it will work with 3.2).

Hmm...this is getting more interesting day by day

     [;)]al">

dude this is the deal....

i have tried connecting the SSH CLIENT (i have not idea what you mean by SSH SERVER...i hope we are not getting our signals croosed here and you are talking about ssh secure shell, it seems like you are, while i am talking about the SSH Sentinel client!! for negotiating ipsec connections) from behind two cheap nat devices..one dlink...one smc...both times the negotiation fails...

however if plug the computer with the ssh client directly into the cable modem..wala...everything is like magic...my ssh clients tunnel terminates at my astaro vpn/firewall server (v. 3.2) just fine...and i can ping the internal network and access network resources!!

now i dont understand what you mean by sometimes it works and sometimes it doesnt...what does this depend on?

what are ur settings in the ssh client?

also how do u setup socks? and how does this help

just one last point of clarification

at the main office i am trying to connect to the setup looks like this;

dsl modem--->astaro 3.202--->internal net using masq rule and dhcp

roadwarriors;

cable/dsl modems---->el cheapo nat devices--->internal network using NAT and dhcp

    [:S]
 
 [size="1"][ 05 July 2002, 11:50: Message edited by: asher ][/size]

Asher:

As you are aware I am also trying out IPsec. I also have run into this Nat issue as well.....My research has shown that at this time it is just not possible to have reliable ipsec/Nat connection like you are trying to achieve with the hardware you are currently using, as IPsec is much more complex and still in its infancy. So until this becomes available I have chosen to go back to PPTP can you not do the same?? Whats so bad about it??

Hope you win the battle

Rayzor

lets get back to basics here then...since youu seem to know a lot more about this then me...

when nat devices advertise ipsec pass-thru technology...does that help? will that fix the problem...one thing that i have notices is that many times ipsec passthru is very specific...like they only pass des and not 3des and not ike...etc...but they still feel free to write ipsec pasthru...i guessif ipsec passthru if not defined is really meaningless

ohh well....

i really want to get this up and running

the reason i keep hammering away at this also is because i remember reading in other posts that some people use cheap linksys routers with updated firware and they are good to go...but i dont rememeber the post and thus the model numbers

both the smc and the dlink i tested claim ipsec passthru and have the latest updates...yet both still fail...i have sent emails to both companies and am awaiting there responses...till then can anyone help me who might have this running

or can someone suggest a network setup that might fix this issue...i really hate to have to dedicate another machine as a router....and I dont want to use pptp allthough i have it working as well just in case as a fall back

asher