Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 8846 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT-T

asher
Just curious how many people really would like to see this feature implemented?

perhaps if people respond to this post...the admins might get working on this very needed feature sooner than later...

personally this is very important for me as almost all of my roadwarrior users connect from home gateways or NAT devices..without NAT-T this make ipsec over these connections virtually impossible


This thread was automatically locked due to age.
  • 0 in reply to asher
    Asher:

    As you are aware I am also trying out IPsec. I also have run into this Nat issue as well.....My research has shown that at this time it is just not possible to have reliable ipsec/Nat connection like you are trying to achieve with the hardware you are currently using, as IPsec is much more complex and still in its infancy. So until this becomes available I have chosen to go back to PPTP can you not do the same?? Whats so bad about it??

    Hope you win the battle

    Rayzor
  • 0 in reply to Bob M
    lets get back to basics here then...since youu seem to know a lot more about this then me...

    when nat devices advertise ipsec pass-thru technology...does that help? will that fix the problem...one thing that i have notices is that many times ipsec passthru is very specific...like they only pass des and not 3des and not ike...etc...but they still feel free to write ipsec pasthru...i guessif ipsec passthru if not defined is really meaningless

    ohh well....

    i really want to get this up and running

    the reason i keep hammering away at this also is because i remember reading in other posts that some people use cheap linksys routers with updated firware and they are good to go...but i dont rememeber the post and thus the model numbers

    both the smc and the dlink i tested claim ipsec passthru and have the latest updates...yet both still fail...i have sent emails to both companies and am awaiting there responses...till then can anyone help me who might have this running

    or can someone suggest a network setup that might fix this issue...i really hate to have to dedicate another machine as a router....and I dont want to use pptp allthough i have it working as well just in case as a fall back

    asher
  • 0 in reply to asher
    I **think** that IPsec passthrough refers to properly mapping IKE and letting the ESP protocol through.  I should note that I cannot figure out how a NAT can be selective on cipher suites.  This is within IKE and protected, so the NAT can't see it.  And ESP has no indication as to which cipher suite is used.  It is all setup by IKE and indexed in the endpoints by the SPIs.

    soooooo

    first how to set up ASL for IPsec passthrough.  I just checked out the Service definitions, and I cannot figure out how to set up ESP.  Why do they ask the SPI?  SPIs for IKE are randomly assigned in most products (a few do it sequentially).  So how can you set up a definition with a set SPI?  I will have to ask Hugh Daniels what Freeswan is doing here (Note Freeswan is NOT ICSA Labs certified.  IPsec criteria 1.0B still required DES, and Freeswan dropped DES long ago.  criteria 1.1 drops DES, so Freeswan MIGHT submit to certification now).  Perhaps they want this to be 256:2^32-1?

    So we need some help setting up a definition for ESP.

    For IKE, well it is just UDP, but here is where NAT-T is important, as the IKE RFC says it MUST be port 500; NAT-T permits it to be mapped.

    So is there instructions for ASL to set it up for pass-thorugh?
  • 0 in reply to Rayzor
    [quote]Originally posted by asher:
    dude this is the deal....

    i have tried connecting the SSH CLIENT (i have not idea what you mean by SSH SERVER...i hope we are not getting our signals croosed here and you are talking about ssh secure shell, it seems like you are, while i am talking about the SSH Sentinel client!! for negotiating ipsec connections) from behind two cheap nat devices..one dlink...one smc...both times the negotiation fails...
         [:S]nals!

    I was talking about using SSH secure shell!

    and tunneling over real SSH!

    As one of the creators of IPsec, I have been rather put upon about what has happen vis-a-vis NAT and I am taking a haitus from IPsec and NATs until after the next IETF meeting.

    I have used SSH Secure shell for some time.  But it does not really support UDP protocols   [:(] 

    I have a UNIX box on my network running OpenSSH.  I have the $90 SSH Windows Secure shell client on my workstation.  I configure the TCP tunneling I need, pointing the apps on my system to LOCALHOST.  It works like a charm.

    I would like to get rid of the UNIX openSSH 'server' and just use ASL to terminate the SSH tunnel.  But that requires a user ID in ASL 2.0 (which I did with some effort), and uploading the client public key (which I did by cutting and pasting), and something else as it still does not work.  Perhaps it will in ASL 3.2...

    So no, I really think you are in a fix with IPsec NAT-T unless.....

    Put up a server within your network for the IPsec NAT-T, like XP (hey, MS is one of the authors of NAT-T, and William Dixon is a really decent guy!).  Then ASL is just a NAT to IPsec. You will have to set it up to properly pass IKE and ESP traffic.