NAT-T

The Internet Drafdt for NAT T was just updated.  I would recommend waiting until after the IETF meeting in 2 weeks in Japan.

I am NOT going to this session, it is the week after IEEE 802 in Vancouver, and this is NOT a good time to be away from the family for 2 weeks.....

However, I can report back here what I hear is discused about NAT-T at the session.  Im Minneapolis back in March, there were a number of issues with NAT-T.  Hopefully the new draft addresses them.

Hi there, 

We are aware that NAT-T is a nice feature.
Because there is no good implementation for FreeS/WAN so far, we are sponsoring an Open Source Developer Yon Uriarte implementing it.

If you monitor the FreeS/WAN mailinglist you will find 2 or 3 patches enabling NAT-T for FreeS/WAN.

However NAT-T is a very complex implementation into FreeS/WAN and not stable enough yet to implement it into ASL.
If it becomes stable in the future, we will add it to ASL. 
But till than, sorry guys.

kind regards
Gert

thnaks for the swift reply gert...

let me ask you something else then..if nat-t is an issue...how would you suggest i setup remote users who need to connect to the firewall and are on home networks with nat routers?

does using a dmz work?
do certain nat devices handle ipsec better than others...
if nat-t will not be implemented for a while can you atleast provide us with a temp. solution or options for our customers?

asher

gert....one more quick question...
have you seen this??

http://open-source.arkoon.net/

comments?

thanks

asher

   [:O]
 
 [size="1"][ 04 July 2002, 14:09: Message edited by: asher ][/size]

IPSEC behind NAT should work with some Routers.
See www.nexland.com or buy an expensive Cisco that prolly has this feature.  [:)] 
Feature needed is called IPSEC Passthrough or Multiple IPSEC Passthrough.
The Router handles the session...dunno how.  [:)] 
NATP (nat/pat)simulateously. (read on nexland site)

Bernd

let me refine my original question and pose another one....

first i just want to clarify...my remote roadwarrior users are connecting using ssh client and they are behinf a nat 'home routing' device...

Now i was thinking...while i originally asked about nat-t on the firewall i guess what i really need is nat-t in SSH!! (perhaps I really need it on both since ssh does indeed do nat-t but it specifies that this will only work if the "otherside" supports it?!) 

Hmm...this is getting more interesting day by day

    [;)]
 
 [size="1"][ 04 July 2002, 21:57: Message edited by: asher ][/size]

until now the easiest solution is to change the routers/gateways out with ones that support IPSec/X509 Certs. After that simply upload the Certs on both sides.  A bit of work but a fairly simple solution so that I can check my Email from home.

my question is about the licensing? if i install an Astaro at my home and use it to connect to my company network, how does that fit into the licensing scheme?

Here is what I asked SSH.

----------- cut -----------
Question about NAT-T

There seems to be a discussion going on as to what this sentence means.

Chapter 7 IPSec-Protected Connections pg. 47

"It is performed only if the other end also supports it".

so the basic network configuration is:

Host (1a)  Internal Network (2a)  Gateway (3a)  Internet (4)  Gateway (3b)  Internal Network (2b)  Host (1b) (with SSH)

assuming that both internal networks use private addresses. which gateways need NAT-T?

The way we are reading this sentence if we want to connect to Host (1a) from Host (1b) then our Gateway (3a) needs NAT-T however Gateway (3b) does not.  Or is the otherside Gateway (3b)?

Thx in advance.
 
 [size="1"][ 05 July 2002, 04:03: Message edited by: Tmor ][/size]

[quote]Originally posted by asher:
first i just want to clarify...my remote roadwarrior users are connecting using ssh client and they are behinf a nat 'home routing' device...

I do this all the time when I am on support calls and have to get back to my network, but my SSH server is not NATed on my end.  Depending on the remote setup, sometimes it just works, sometimes I have to use SOCKs to get out the remote NAT.

Now i was thinking...while i originally asked about nat-t on the firewall i guess what i really need is nat-t in SSH!! (perhaps I really need it on both since ssh does indeed do nat-t but it specifies that this will only work if the "otherside" supports it?!) 

On your end you could set up PNAT for an SSH server behind your firewall.  SSH works well this way.  

I would like to get rid of the SSH server and just use ASL to terminate the SSH tunnel, but it does not work with 2.0 and I am not ready to move to 3.2 (and still do not know if it will work with 3.2).

Hmm...this is getting more interesting day by day

     [;)]al">

dude this is the deal....

i have tried connecting the SSH CLIENT (i have not idea what you mean by SSH SERVER...i hope we are not getting our signals croosed here and you are talking about ssh secure shell, it seems like you are, while i am talking about the SSH Sentinel client!! for negotiating ipsec connections) from behind two cheap nat devices..one dlink...one smc...both times the negotiation fails...

however if plug the computer with the ssh client directly into the cable modem..wala...everything is like magic...my ssh clients tunnel terminates at my astaro vpn/firewall server (v. 3.2) just fine...and i can ping the internal network and access network resources!!

now i dont understand what you mean by sometimes it works and sometimes it doesnt...what does this depend on?

what are ur settings in the ssh client?

also how do u setup socks? and how does this help

just one last point of clarification

at the main office i am trying to connect to the setup looks like this;

dsl modem--->astaro 3.202--->internal net using masq rule and dhcp

roadwarriors;

cable/dsl modems---->el cheapo nat devices--->internal network using NAT and dhcp

    [:S]
 
 [size="1"][ 05 July 2002, 11:50: Message edited by: asher ][/size]

dude this is the deal....

i have tried connecting the SSH CLIENT (i have not idea what you mean by SSH SERVER...i hope we are not getting our signals croosed here and you are talking about ssh secure shell, it seems like you are, while i am talking about the SSH Sentinel client!! for negotiating ipsec connections) from behind two cheap nat devices..one dlink...one smc...both times the negotiation fails...

however if plug the computer with the ssh client directly into the cable modem..wala...everything is like magic...my ssh clients tunnel terminates at my astaro vpn/firewall server (v. 3.2) just fine...and i can ping the internal network and access network resources!!

now i dont understand what you mean by sometimes it works and sometimes it doesnt...what does this depend on?

what are ur settings in the ssh client?

also how do u setup socks? and how does this help

just one last point of clarification

at the main office i am trying to connect to the setup looks like this;

dsl modem--->astaro 3.202--->internal net using masq rule and dhcp

roadwarriors;

cable/dsl modems---->el cheapo nat devices--->internal network using NAT and dhcp

    [:S]
 
 [size="1"][ 05 July 2002, 11:50: Message edited by: asher ][/size]

Asher:

As you are aware I am also trying out IPsec. I also have run into this Nat issue as well.....My research has shown that at this time it is just not possible to have reliable ipsec/Nat connection like you are trying to achieve with the hardware you are currently using, as IPsec is much more complex and still in its infancy. So until this becomes available I have chosen to go back to PPTP can you not do the same?? Whats so bad about it??

Hope you win the battle

Rayzor

lets get back to basics here then...since youu seem to know a lot more about this then me...

when nat devices advertise ipsec pass-thru technology...does that help? will that fix the problem...one thing that i have notices is that many times ipsec passthru is very specific...like they only pass des and not 3des and not ike...etc...but they still feel free to write ipsec pasthru...i guessif ipsec passthru if not defined is really meaningless

ohh well....

i really want to get this up and running

the reason i keep hammering away at this also is because i remember reading in other posts that some people use cheap linksys routers with updated firware and they are good to go...but i dont rememeber the post and thus the model numbers

both the smc and the dlink i tested claim ipsec passthru and have the latest updates...yet both still fail...i have sent emails to both companies and am awaiting there responses...till then can anyone help me who might have this running

or can someone suggest a network setup that might fix this issue...i really hate to have to dedicate another machine as a router....and I dont want to use pptp allthough i have it working as well just in case as a fall back

asher

I **think** that IPsec passthrough refers to properly mapping IKE and letting the ESP protocol through.  I should note that I cannot figure out how a NAT can be selective on cipher suites.  This is within IKE and protected, so the NAT can't see it.  And ESP has no indication as to which cipher suite is used.  It is all setup by IKE and indexed in the endpoints by the SPIs.

soooooo

first how to set up ASL for IPsec passthrough.  I just checked out the Service definitions, and I cannot figure out how to set up ESP.  Why do they ask the SPI?  SPIs for IKE are randomly assigned in most products (a few do it sequentially).  So how can you set up a definition with a set SPI?  I will have to ask Hugh Daniels what Freeswan is doing here (Note Freeswan is NOT ICSA Labs certified.  IPsec criteria 1.0B still required DES, and Freeswan dropped DES long ago.  criteria 1.1 drops DES, so Freeswan MIGHT submit to certification now).  Perhaps they want this to be 256:2^32-1?

So we need some help setting up a definition for ESP.

For IKE, well it is just UDP, but here is where NAT-T is important, as the IKE RFC says it MUST be port 500; NAT-T permits it to be mapped.

So is there instructions for ASL to set it up for pass-thorugh?

[quote]Originally posted by asher:
dude this is the deal....

i have tried connecting the SSH CLIENT (i have not idea what you mean by SSH SERVER...i hope we are not getting our signals croosed here and you are talking about ssh secure shell, it seems like you are, while i am talking about the SSH Sentinel client!! for negotiating ipsec connections) from behind two cheap nat devices..one dlink...one smc...both times the negotiation fails...
     [:S]nals!

I was talking about using SSH secure shell!

and tunneling over real SSH!

As one of the creators of IPsec, I have been rather put upon about what has happen vis-a-vis NAT and I am taking a haitus from IPsec and NATs until after the next IETF meeting.

I have used SSH Secure shell for some time.  But it does not really support UDP protocols   [:(] 

I have a UNIX box on my network running OpenSSH.  I have the $90 SSH Windows Secure shell client on my workstation.  I configure the TCP tunneling I need, pointing the apps on my system to LOCALHOST.  It works like a charm.

I would like to get rid of the UNIX openSSH 'server' and just use ASL to terminate the SSH tunnel.  But that requires a user ID in ASL 2.0 (which I did with some effort), and uploading the client public key (which I did by cutting and pasting), and something else as it still does not work.  Perhaps it will in ASL 3.2...

So no, I really think you are in a fix with IPsec NAT-T unless.....

Put up a server within your network for the IPsec NAT-T, like XP (hey, MS is one of the authors of NAT-T, and William Dixon is a really decent guy!).  Then ASL is just a NAT to IPsec. You will have to set it up to properly pass IKE and ESP traffic.