Toon posts:

IPSec achter een NAT router

Pagina: 1
Acties:
  • 182 views sinds 30-01-2008
  • Reageer

zaterdag 4 oktober 2003 16:57

Acties:

Verwijderd

Topicstarter
Ik heb een aantal vraagjes over VPN / IPSec en NAT:

Ik wil een VPN opzetten tussen een netwerk van mij en een vriend. Allebei hebben we een @HOME verbinding en hangen onze netwerkjes met een hardware router aan de kabelmodem.

Nu heb ik begrepen dat IPSec eigenlijk de enige echte, veilige manier voor het opzetten van een VPN verbinding. In mijn netwerk wil ik de verbinding verzorgen door middel van software op een Linux servertje.

Nu heb ik redelijk wat topics gelezen op dit forum, over IPSec achter een NAT router. Nu is mijn vraag kan dit nu WEL of NIET. Soms lees ik namelijk dat het wel kan, andere zeggen dat het totaal niet mogelijk is.

Ook heb ik op internet gelezen over NAT Traversal. Een kleine aanpassing van het NAT protocol, meen ik, de er voor zorgt dat de pakketjes wel goed over gestuurd kunnen worden. Is dit misschien een oplossing?

Welke andere manier zijn er anders nog over om een VPN op te zetten? Is het L2TP protocol een goede oplossing?

zaterdag 4 oktober 2003 19:54

Acties:
  • igmar
  • Registratie: April 2000
  • Laatst online: 27-03 10:55

igmar

ISO20022

l2tp is standaard niet gecrypted, en al helemaal niet veilig. IPSec gaat prima over NAT heen, mits je NAT Traversal gebruikt.

zaterdag 4 oktober 2003 20:57

Acties:
  • _JGC_
  • Registratie: Juli 2000
  • Laatst online: 01:32

_JGC_

met NAT traversal zou ipsec gewoon moeten werken. Voor zover ik weet zijn er ook geen problemen met pptp/mppe.
Let wel dat pptp/mppe RC4 encryptie heeft wat stukken zwakker is dan ipsec.

zondag 5 oktober 2003 00:02

Acties:
  • bolke
  • Registratie: Oktober 2000
  • Laatst online: 06-10-2024

bolke

Klikt nu met een 50D.

igmar schreef op 04 October 2003 @ 19:54:
l2tp is standaard niet gecrypted, en al helemaal niet veilig. IPSec gaat prima over NAT heen, mits je NAT Traversal gebruikt.
Als je L2TP gebruikt komt er meestal (bij Windows altijd) IPsec bij. Veiliger kan bijna niet

L2TP is op dit moment het meest gebruikte VPN protocol.

http://www.hroling.nl

zondag 5 oktober 2003 08:21

Acties:
  • schroevendraaier480
  • Registratie: April 2002
  • Laatst online: 12-04 16:43

schroevendraaier480

certified prutser

IPsec kan zonder problemen ook uit de voeten met NAT. Echter zal één van beide VPN endpoints moeten beschikken over een public IP adres.

wat nou router, gewoon een kroonsteentje!

dinsdag 11 april 2006 15:18

Acties:
  • DeMoN
  • Registratie: Maart 2001
  • Laatst online: 12-03 14:25

DeMoN

Pastafari

schroevendraaier schreef op zondag 05 oktober 2003 @ 08:21:
IPsec kan zonder problemen ook uit de voeten met NAT. Echter zal één van beide VPN endpoints moeten beschikken over een public IP adres.
Zeer oud topic dit, ik weet het, maar ik ben echt de hele dag al met dit verhaal bezig.
Ik word er helemaal gek van, waarschijnlijk komt dit doordat ik met dit soort dingen nooit op wil geven en mezelf dan geen rust gun voodat het werkt :+ Ben nu echt gaar.

Ik wil gewoon een VPN verbinding met IPSec / L2TP opzetten maar ik zit dus ook met NAT.

En dan wel zo:

CLIENT(NAT) -> ROUTER -> INTERNET -> ROUTER -> SERVER(NAT)

Gaat dit werken?

De client moet gewoon de XP native VPN client kunnen gebruiken en op de server draai ik Linux 2.6 / Debian Sarge met OpenSwan 2.4 (uit de testing). ipsec-tools is geinstalleerd en NAT-T werkt ook. Maar werkt dit ook met een dubbele NAT zoals ik hierboven omschrijf? Of werkt het alleen zo:

CLIENT(NAT) -> ROUTER -> INTERNET -> SERVER(PUBLIEK_IP)

* DeMoN status: 8)7 |:( ;(

[ Voor 4% gewijzigd door DeMoN op 11-04-2006 15:18 ]

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

dinsdag 11 april 2006 16:19

Acties:
  • axis
  • Registratie: Juni 2000
  • Laatst online: 26-01-2023

axis

Het zou in principe wel moeten werken, maar wel met kopzorgen ;)

Heb je ook al eens gekeken naar OpenVPN? Een geweldige open source VPN oplossing die gebruik maakt van 1 enkel UDP of TCP poortje, en werkt met standaard x509 certifacten (of een statische passphrase). Staat complete howto op de site..

Gebruik het hier ook om wat locaties met elkaar te verbinden, linux-windows, en linux-linux. Werkt als een zonnetje! Ook door 3 NAT-layers heen, bij wijze van spreken..

[ Voor 6% gewijzigd door axis op 11-04-2006 16:19 ]

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

dinsdag 11 april 2006 16:46

Acties:
  • DeMoN
  • Registratie: Maart 2001
  • Laatst online: 12-03 14:25

DeMoN

Pastafari

axis schreef op dinsdag 11 april 2006 @ 16:19:
Het zou in principe wel moeten werken, maar wel met kopzorgen ;)

Heb je ook al eens gekeken naar OpenVPN? Een geweldige open source VPN oplossing die gebruik maakt van 1 enkel UDP of TCP poortje, en werkt met standaard x509 certifacten (of een statische passphrase). Staat complete howto op de site..

Gebruik het hier ook om wat locaties met elkaar te verbinden, linux-windows, en linux-linux. Werkt als een zonnetje! Ook door 3 NAT-layers heen, bij wijze van spreken..
Ja, ik begon met OpenVPN en dat had ik ook binnen een uur aan de praat.
Eerlijk gezegd ben ik gister al begonnen met deze OpenSwan tot nu en het werkt nog steeds niet. Je hebt gelijk dus als je zegt dat OpenVPN lekkerder werkt.

Maar:

- Kan het met de native Windows VPN-Wizard werken?
Imho niet en moet je gaan kloten met third party meuk.
- Kan het L2TP/ IPSEC aan?
Volgens mij ook niet en ik heb mijn zinnen gezet op L2TP / IPSEC..
OpenVPN is toch SSL / SSH?


Iemand nog een tip aangaande het OpenSwan NAT naar NAT VPN gebeuren?
Op aanvraag wil ik wel veel meer info posten zoals de ipsec barf e.d. Alleen doe ik dat nu nog ff niet omdat dat wel erg vervuilend is voor deze thread :)

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

dinsdag 11 april 2006 16:56

Acties:
  • axis
  • Registratie: Juni 2000
  • Laatst online: 26-01-2023

axis

- Kan het met de native Windows VPN-Wizard werken?
Imho niet en moet je gaan kloten met third party meuk.
- Kan het L2TP/ IPSEC aan?
Volgens mij ook niet en ik heb mijn zinnen gezet op L2TP / IPSEC..
OpenVPN is toch SSL / SSH?
OpenVPN is een TLS/SSL VPN oplossing, en dat werkt op een andere manier dan L2TP/PPTP.. Is dus ook inderdaad niet compatible.. Staat ook met koeienletters op de openvpn site.

OpenVPN werkt heerlijk, maar als het een requirement is dat je de windows integrated client moet gebruiken en dat het gebruikt maakt van L2TP+IPsec, dan is OpenVPN inderdaad geen goede keuze.

Voordeel trouwens van de eigen openvpn client dat ie ook als NT service draait, en na een onderbreking binnen een paar seconden weer connected is.. Je krijgt ook een virtuele netwerkkaart in je OS, waar je van alles mee kunt doen.. routen, sniffen, etc.. Het is niet een dial-up verbinding zoals met de windows VPN client.

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

dinsdag 11 april 2006 17:26

Acties:
  • DeMoN
  • Registratie: Maart 2001
  • Laatst online: 12-03 14:25

DeMoN

Pastafari

axis schreef op dinsdag 11 april 2006 @ 16:56:
[...]

OpenVPN is een TLS/SSL VPN oplossing, en dat werkt op een andere manier dan L2TP/PPTP.. Is dus ook inderdaad niet compatible.. Staat ook met koeienletters op de openvpn site.

OpenVPN werkt heerlijk, maar als het een requirement is dat je de windows integrated client moet gebruiken en dat het gebruikt maakt van L2TP+IPsec, dan is OpenVPN inderdaad geen goede keuze.

Voordeel trouwens van de eigen openvpn client dat ie ook als NT service draait, en na een onderbreking binnen een paar seconden weer connected is.. Je krijgt ook een virtuele netwerkkaart in je OS, waar je van alles mee kunt doen.. routen, sniffen, etc.. Het is niet een dial-up verbinding zoals met de windows VPN client.
Hmm ja, voor eigen gebruik zou het ideaal zijn.
Echter moeten mensen het thuis gaan gebruiken om op kantoor te komen en dan is die standaard wizard gewoon makkelijker.

Of denk jij dat het wel meevalt? Ik heb de standaard OpnVPN client geprobeerd maar zover ik kon zien was er weinig grafisch aan, dus niet gebruiksvriendelijk voor de gemiddelde n00b.
Of het moet zo zijn dat het allemaal te configgen met een configfiletje is? En dat je ergens een shortcut kunt plaatsen waarna ze kunnen inloggen op kantoor?
Dan kan ik ze misschien een scriptje meegeven die ze thuis moeten opstarten en die vervolgens alle settings voor OpenVPN goed zet.. :)

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

dinsdag 11 april 2006 20:07

Acties:
  • Bl@ckbird
  • Registratie: November 2000
  • Niet online

Bl@ckbird

OpenVPN GUI
http://www.openvpn.se/screenshots.html :)

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

dinsdag 11 april 2006 20:29

Acties:
  • DeMoN
  • Registratie: Maart 2001
  • Laatst online: 12-03 14:25

DeMoN

Pastafari

-Blackbird- schreef op dinsdag 11 april 2006 @ 20:07:
OpenVPN GUI
http://www.openvpn.se/screenshots.html :)
Daar zal ik binnenkort dan maar eens naar gaan kijken, thx :)

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

woensdag 12 april 2006 00:21

Acties:
  • axis
  • Registratie: Juni 2000
  • Laatst online: 26-01-2023

axis

DeMoN schreef op dinsdag 11 april 2006 @ 17:26:
[...]
Of denk jij dat het wel meevalt? Ik heb de standaard OpnVPN client geprobeerd maar zover ik kon zien was er weinig grafisch aan, dus niet gebruiksvriendelijk voor de gemiddelde n00b.
Of het moet zo zijn dat het allemaal te configgen met een configfiletje is? En dat je ergens een shortcut kunt plaatsen waarna ze kunnen inloggen op kantoor?
Dan kan ik ze misschien een scriptje meegeven die ze thuis moeten opstarten en die vervolgens alle settings voor OpenVPN goed zet.. :)
Iedere client moet in principe de client installeren.. Daarnaast heeft iedere client een config file die jij maakt, en een certificate file die jij uitgeeft..
Heb zelf nog nooit met die GUI gewerkt, maar zonder die aparte GUI tool: 2 manieren om de client op te starten:
1. Je kunt rechtermuisknop 'openen met openvpn' doen op de configfile om de VPN te openen..
2. Je zet de configfile op de juist plek, bijv c:\program files\openvpn\config, en je zet de nt service op automatic. Deze service zoekt zelf door die folder, en start elke VPN.

Dus ja, die windows wizard is ook makkelijk, maar dit is misschien ook makkelijk voor je te scripten? Je moet gewoon kijken wat jij makkelijk vindt..

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

woensdag 12 april 2006 13:11

Acties:
  • _JGC_
  • Registratie: Juli 2000
  • Laatst online: 01:32

_JGC_

Die GUI is heel erg makkelijk:
- download OpenVPN GUI, next next next next finish
- start -> progs -> openvpn gui -> configuration folder
- pleur .ovpn config file + keys daarin
- dubbelklik openvpn icon in systray... klaar.

woensdag 12 april 2006 22:08

Acties:
  • DeMoN
  • Registratie: Maart 2001
  • Laatst online: 12-03 14:25

DeMoN

Pastafari

Jup, ik had het idd zo opgezet en zo.
Ben nu thuis bezig met proberen naar kantoor te connecten (stiekem zit ik gewoon verder te werken icm ssh access op de linux (openvpn) server daar :P kan dus wel overal bij nu.)

Krijg nu in de client zelf gezeik met het connecten. De verbinding op zich is goed alleen die certificaten zijn dus amper goed te krijgen.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

Wed Apr 12 22:06:26 2006 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed Apr 12 22:06:26 2006 Re-using SSL/TLS context
Wed Apr 12 22:06:26 2006 LZO compression initialized
Wed Apr 12 22:06:26 2006 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Apr 12 22:06:26 2006 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Apr 12 22:06:26 2006 Local Options hash (VER=V4): '41690919'
Wed Apr 12 22:06:26 2006 Expected Remote Options hash (VER=V4): '530fdded'
Wed Apr 12 22:06:26 2006 UDPv4 link local: [undef]
Wed Apr 12 22:06:26 2006 UDPv4 link remote: 80.126.**.**:1337
Wed Apr 12 22:06:26 2006 TLS: Initial packet from 80.126.**.**:1337, sid=6ef55204 084f7583
Wed Apr 12 22:06:26 2006 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: /C=NL/ST=ZH/L=STAD/O=BEDRIJF/emailAddress=mail@bedrijf.nl
Wed Apr 12 22:06:26 2006 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Wed Apr 12 22:06:26 2006 TLS Error: TLS object -> incoming plaintext read error
Wed Apr 12 22:06:26 2006 TLS Error: TLS handshake failed
Wed Apr 12 22:06:26 2006 TCP/UDP: Closing socket
Wed Apr 12 22:06:26 2006 SIGUSR1[soft,tls-error] received, process restarting
Wed Apr 12 22:06:26 2006 Restart pause, 2 second(s)


Ik kom er op zich wel achter maar misschien dat iemand het hier zo weet :)

Ik heb de certs al een paar keer opnieuw gemaakt en naar de client gekopieerd.

Wel jammer na het uren kloten met OpenSwan dat ook dit niet even wil werken :(

Heb btw alles helemaal volgens de officiele howto gedaan. Meerdere keren ondertussen zelfs..


EDIT
LAAT MAAR!

Het werkt al ineens. Na een restart van die openvpn server op de server doet hij het wel. Beetje vreemd, maar wel lekker :P
Thx allen ;)

[ Voor 24% gewijzigd door DeMoN op 12-04-2006 22:29 ]

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

woensdag 12 april 2006 22:31

Acties:
  • axis
  • Registratie: Juni 2000
  • Laatst online: 26-01-2023

axis

Hoe heb je de certs gemaakt? Met openssl of met je windows CA, etc? Kan mijn stappenplan wel aan je uitleggen icm windows CA, maar goed, morgenvroeg.. De vrouw roept nu ;)

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

donderdag 13 april 2006 01:17

Acties:
  • _JGC_
  • Registratie: Juli 2000
  • Laatst online: 01:32

_JGC_

OpenVPN heeft een easy-rsa script. Ik weet niet wat ie doet, ik weet niet hoe ie het doet, ik weet niet wat het allemaal betekent, maar ik heb nog nooit zo makkelijk een set SSL certificaten aan kunnen maken :P

donderdag 13 april 2006 22:15

Acties:
  • ChaserBoZ_
  • Registratie: September 2005
  • Laatst online: 04-01 10:58

ChaserBoZ_

-Blackbird- schreef op dinsdag 11 april 2006 @ 20:07:
OpenVPN GUI
http://www.openvpn.se/screenshots.html :)
Die is inderdaad erg simpel & handig :)

'Maar het heeft altijd zo gewerkt . . . . . . '

Pagina: 1
Reageer