L2TP/IPSEC via NAT mogelijk?

Het is me al gelukt met FreeS/WAN v2.05 een werkende VPN-server op te zetten waarmee dmv x.905 certificaten (patch v1.5.4) kan worden ingelogd.
Vervolgens wil ik het mogelijk maken om verbinding te maken vanachter een NAT-router. De client zit dan dus achter NAT, de server niet:

Client (Win98) <---> NAT <---> internet <---> VPN server

Ohja, de kernelversie is 2.4.25, distributie RedHat

Ik ben nu al een paar dagen bezig om dit voor elkaar te krijgen maar het wil maar niet lukken. Ik begin me zelfs al af te vragen of dit uberhaupt mogelijk is
BTW de NAT-Traversal patch (v.1.5.3) is uiteraard ook geinstalleerd.

De handleiding die ik heb doorlopen is die van Nate Carlson:
http://www.natecarlson.com/linux/ipsec-x509.php Bij 'insiders' wel bekend
Nou vraag ik me na het doorlezen van de vele documentatie (waar vaak tegenstrijdigheden instaan ) een aantal zaken af:

- De MSL2TP client van Win98: Ondersteunt deze uberhaupt NAt-T? Volgens deze site dus niet: http://www.freeswan.org/f...ENT-SNAP/doc/interop.html
- Is NAt-T mogelijk met L2TP/IPSEC, of kan dat alleen met een IPSEC tunnel (dus alleen tussen 2 LInux systemen.
- In onderstaande output van /var/log/secure staan nog wat dingen die me zijn opgevallen:

Apr 29 10:01:29 blackbox ipsec__plutorun: Starting Pluto subsystem...
Apr 29 10:01:29 blackbox pluto[4202]: Starting Pluto (FreeS/WAN Version 2.05 X.509-1.5.4 PLUTO_USES_KEYRR)
Apr 29 10:01:29 blackbox pluto[4202]: including NAT-Traversal patch (Version 0.6b)
Apr 29 10:01:29 blackbox pluto[4202]: Using KLIPS IPsec interface code
Apr 29 10:01:29 blackbox pluto[4202]: Changing to directory '/etc/ipsec.d/cacerts'
Apr 29 10:01:29 blackbox pluto[4202]: loaded CA cert file 'cacert.pem' (1549 bytes)
Apr 29 10:01:29 blackbox pluto[4202]: Could not change to directory '/etc/ipsec.d/aacerts'
Apr 29 10:01:29 blackbox pluto[4202]: Changing to directory '/etc/ipsec.d/ocspcerts'
Apr 29 10:01:29 blackbox pluto[4202]: Changing to directory '/etc/ipsec.d/crls'
Apr 29 10:01:29 blackbox pluto[4202]: loaded crl file 'crl.pem' (662 bytes)
Apr 29 10:01:30 blackbox pluto[4202]: loaded host cert file '/etc/ipsec.d/certs/certificaat.pem' (4874 bytes)
Apr 29 10:01:30 blackbox pluto[4202]: loaded host cert file '/etc/ipsec.d/certs/windows.pem' (4887 bytes)
Apr 29 10:01:30 blackbox pluto[4202]: added connection description "remotecert"
Apr 29 10:01:30 blackbox pluto[4202]: listening for IKE messages
Apr 29 10:01:30 blackbox pluto[4202]: adding interface ipsec0/eth1 194.151.63.5
Apr 29 10:01:30 blackbox pluto[4202]: adding interface ipsec0/eth1 194.151.63.5:4500
Apr 29 10:01:30 blackbox pluto[4202]: loading secrets from "/etc/ipsec.secrets"
Apr 29 10:01:30 blackbox pluto[4202]: loaded private key file '/etc/ipsec.d/private/sleutel.key' (1742 bytes)
Apr 29 10:02:28 blackbox pluto[4202]: packet from 82.73.112.206:500: ignoring Vendor ID payload [FRAGMENTATION]
Apr 29 10:02:28 blackbox pluto[4202]: packet from 82.73.112.206:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
Apr 29 10:02:28 blackbox pluto[4202]: packet from 82.73.112.206:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
Apr 29 10:02:28 blackbox pluto[4202]: "remotecert"[1] 82.73.112.206 #1: responding to Main Mode from unknown peer 82.73.112.206
Apr 29 10:02:29 blackbox pluto[4202]: "remotecert"[1] 82.73.112.206 #1: ignoring Vendor ID payload [47bbe7c993f1fc13...]
Apr 29 10:02:29 blackbox pluto[4202]: "remotecert"[1] 82.73.112.206 #1: ignoring Vendor ID payload [3025dbd21062b9e5...]
Apr 29 10:02:29 blackbox pluto[4202]: "remotecert"[1] 82.73.112.206 #1: ignoring Vendor ID payload [da8e937880010000]
Apr 29 10:02:29 blackbox pluto[4202]: "remotecert"[1] 82.73.112.206 #1: ignoring Vendor ID payload [XAUTH]
Apr 29 10:02:29 blackbox pluto[4202]: "remotecert"[1] 82.73.112.206 #1: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: peer is NATed
Apr 29 10:02:31 blackbox pluto[4202]: "remotecert"[1] 82.73.112.206 #1: ignoring informational payload, type IPSEC_INITIAL_CONTACT
Apr 29 10:02:31 blackbox pluto[4202]: | protocol/port in Phase 1 ID Payload is 17/4500. accepted with port_floating NAT-T
Apr 29 10:02:31 blackbox pluto[4202]: "remotecert"[1] 82.73.112.206 #1: Peer ID is ID_DER_ASN1_DN: 'C=nl, ST=limburg, L=maastricht, O=ineda, CN=remoteuser, E=r.hamakers@wanadoo.nl'
Apr 29 10:02:31 blackbox pluto[4202]: | NAT-T: new mapping 82.73.112.206:500/4500)
Apr 29 10:02:31 blackbox pluto[4202]: "remotecert"[1] 82.73.112.206:4500 #1: sent MR3, ISAKMP SA established
Apr 29 10:02:32 blackbox pluto[4202]: "remotecert"[1] 82.73.112.206:4500 #2: NAT-Traversal: Transport mode disabled due to security concerns
Apr 29 10:02:32 blackbox pluto[4202]: "remotecert"[1] 82.73.112.206:4500 #2: sending encrypted notification BAD_PROPOSAL_SYNTAX to 82.73.112.206:4500

Mijn Ipsec.conf:

version 2.0

config setup
interfaces="ipsec0=eth1"
klipsdebug=none
plutodebug=none
nat_traversal=yes
# uniqueids=yes
# plutoload=%search
# plutostart=%search

conn %default
authby=rsasig
left=194.151.63.5
leftnexthop=194.151.63.1
leftcert=/etc/ipsec.d/certs/certificaat.pem
auto=add
leftprotoport=17/1701
rightprotoport=17/1701
pfs=no
leftrsasigkey=%cert
rightrsasigkey=%cert
# esp=3des-md5-96

conn remotecert
rightcert=/etc/ipsec.d/certs/windows.pem
right=%any
rightsubnet=10.1.1.2/32

#conn remotecert-net
# leftsubnet=192.168.0.0/24
# rightcert=/etc/ipsec.d/certs/windows.pem
# rightsubnet=10.1.1.2/32

[ Voor 4% gewijzigd door Verwijderd op 29-04-2004 10:25 ]

Niemand die ook ooit voor dit probleem heeft gestaan?

Ik hoef alleen maar te weten of het mogelijk is wat ik wil, anders kan ik m'n tijd beter richten op een andere oplossing.
Ben overigens bezig met SSH Sentinel momenteel. Laat wel even weten of het is gelukt...

OK dit geeft me al wat meer hoop

Als ik verder kom laat ik het weten...

Die thread is wel te volgen en zal ik ook gaan proberen met Windows 2000/XP. Kan ik dan concluderen dat het met de Win98 client onmogelijk is?