NAT-T - VPN Problem mit ext Dienstleister
Hallo Admins,
wir haben ein Problem bei einem Kunden, welcher von einem Softwarehaus via VPN Tunnel betreut wird.
Es ist ein extrem abenteuerliches Konstrukt...
SH = Softwarehaus
KD = Kunde
Nun... als erstes stellt das Softwarehaus folgende Anforderung:
Das sie viele Kunden betreuen, werden jedem Kunden ein Netz zugeteilt, welches hinter dem VPN Tunnel via NAT aufgebaut wird. Soweit auch OK.
So ergibt sich vorläufig folgende Kombination:
VPN -> Virtuelles Netz -> NAT -> Physisches Netz
Soweit auch noch kein Problem. Nun NATet das Softwarehaus aber ebenfalls, damit sie bei allen Kunden mit nur einer IP kommen.
Also...
SH Netz -> SH EinheitsIP -> Ext.IP SH -> VPN -> Ext. IP KD -> Virtuelles Netz -> Physisches Netz
Nun, nach kommen die Kollegen vom SH mit der Aussage, das ihr VPN Router hinter einem weiteren Router hängt.
Also...
SH Netz -> SH EinheitsIP und VPN Start -> Ext.IP SH -> Ext. IP KD und VPN Ende -> Virtuelles Netz -> NAT -> Physisches Netz
Oder in Geräten
Rechner -> Bintec -> Cisco -> Internet -> Checkpoint -> Rechner
Das ist eine kranke Konstruktion, aber das SH möchte es so.
Jedenfalls Schwebt das Packet beim SH los, wird auf der Bintec zur EingheitsIP geNATet, geht von da in den Tunnel, welcher über die Cisco zu unserer Checkpoint gespannt ist, fällt aus dem Tunnel beim KD wieder raus, möchte zur virtuellen IP, wird geNATed und erreicht die Physische IP.
Soweit klappt es auch, das Packet kommt bei unserem Server an. Aber nun muss es auch wieder zurück.
Das Packet schwebt beim Server los, wir zurückgenattet, fällt in den Tunnel und verschwindet für meine LOG- Möglichkeiten.
Jetzt fängt das Problem an.
Da der VPN Endpunkt beim SH ja hinter einem anderen Router liegt, müssen wir unser Firewall sagen das der Tunnel mit NAT-T aufgebaut werden muss.
Es gibt aber bei der Safe@Office keine Einstellmöglichkeit um das zu forcen. Wenn ich den Tunnel von uns aufbaue erkennt die Checkpoint automatisch das NAT-T benötigt wird, alles gut.
ABER... Wenn aber das SH den Tunnel aufbaut, erkennt unsere FW quasi nicht, das die NAT-T praktiziert, schaltet es aus und es kommen keine Packete beim SH an.
Jetzt (endlich) die Frage:
Gibt es irgendwas was wir noch tun können, um diesen NAT Irrsinn dochnoch zum laufen zu bringen? Standartmäßig baut ja das SH den Tunnel auf um zu helfen.
Kann ich dem Tunnel irgendwas mitgeben, damit die Packete auf der anderen Seite ankommen? Eine art manuelles NAT-T?
Könne die irgendwas mitgeben, woran unsere FW merkt, das die NAT-T Praktizieren?
Danke für alle die überhaupt bis hierhergekommen sind mit lesen
wir haben ein Problem bei einem Kunden, welcher von einem Softwarehaus via VPN Tunnel betreut wird.
Es ist ein extrem abenteuerliches Konstrukt...
SH = Softwarehaus
KD = Kunde
Nun... als erstes stellt das Softwarehaus folgende Anforderung:
Das sie viele Kunden betreuen, werden jedem Kunden ein Netz zugeteilt, welches hinter dem VPN Tunnel via NAT aufgebaut wird. Soweit auch OK.
So ergibt sich vorläufig folgende Kombination:
VPN -> Virtuelles Netz -> NAT -> Physisches Netz
Soweit auch noch kein Problem. Nun NATet das Softwarehaus aber ebenfalls, damit sie bei allen Kunden mit nur einer IP kommen.
Also...
SH Netz -> SH EinheitsIP -> Ext.IP SH -> VPN -> Ext. IP KD -> Virtuelles Netz -> Physisches Netz
Nun, nach kommen die Kollegen vom SH mit der Aussage, das ihr VPN Router hinter einem weiteren Router hängt.
Also...
SH Netz -> SH EinheitsIP und VPN Start -> Ext.IP SH -> Ext. IP KD und VPN Ende -> Virtuelles Netz -> NAT -> Physisches Netz
Oder in Geräten
Rechner -> Bintec -> Cisco -> Internet -> Checkpoint -> Rechner
Das ist eine kranke Konstruktion, aber das SH möchte es so.
Jedenfalls Schwebt das Packet beim SH los, wird auf der Bintec zur EingheitsIP geNATet, geht von da in den Tunnel, welcher über die Cisco zu unserer Checkpoint gespannt ist, fällt aus dem Tunnel beim KD wieder raus, möchte zur virtuellen IP, wird geNATed und erreicht die Physische IP.
Soweit klappt es auch, das Packet kommt bei unserem Server an. Aber nun muss es auch wieder zurück.
Das Packet schwebt beim Server los, wir zurückgenattet, fällt in den Tunnel und verschwindet für meine LOG- Möglichkeiten.
Jetzt fängt das Problem an.
Da der VPN Endpunkt beim SH ja hinter einem anderen Router liegt, müssen wir unser Firewall sagen das der Tunnel mit NAT-T aufgebaut werden muss.
Es gibt aber bei der Safe@Office keine Einstellmöglichkeit um das zu forcen. Wenn ich den Tunnel von uns aufbaue erkennt die Checkpoint automatisch das NAT-T benötigt wird, alles gut.
ABER... Wenn aber das SH den Tunnel aufbaut, erkennt unsere FW quasi nicht, das die NAT-T praktiziert, schaltet es aus und es kommen keine Packete beim SH an.
Jetzt (endlich) die Frage:
Gibt es irgendwas was wir noch tun können, um diesen NAT Irrsinn dochnoch zum laufen zu bringen? Standartmäßig baut ja das SH den Tunnel auf um zu helfen.
Kann ich dem Tunnel irgendwas mitgeben, damit die Packete auf der anderen Seite ankommen? Eine art manuelles NAT-T?
Könne die irgendwas mitgeben, woran unsere FW merkt, das die NAT-T Praktizieren?
Danke für alle die überhaupt bis hierhergekommen sind mit lesen
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 172889
Url: https://administrator.de/forum/nat-t-vpn-problem-mit-ext-dienstleister-172889.html
Ausgedruckt am: 24.12.2024 um 19:12 Uhr
6 Kommentare
Neuester Kommentar
NAT-T nutzt UDP 4500. Das musst du entsprechend freigeben, sonst können die Port Informationen die das ESP und IKE nutzt nicht transparent übertragen werden. Wenn das geblockt ist kommt kein Tunnel zustande.
Eine andere Möglichkeit hast du de facto nicht, es sei denn du steigst auf ein VPN protokoll um was erheblich besser per NAT und Firewall behandelt werden kann wie SSL zum Beispiel (Open VPN und SSL VPNs)
Eine andere Möglichkeit hast du de facto nicht, es sei denn du steigst auf ein VPN protokoll um was erheblich besser per NAT und Firewall behandelt werden kann wie SSL zum Beispiel (Open VPN und SSL VPNs)
Wenn der Tunnel wirklich mit Phase 1 und auch 2 zustande kommt ist es ja de facto kein VPN Problem ! Dann kann es nur noch die Produktivdaten selber betreffen im Tunnel die dann an irgendeiner FW Seite an der sie aus dem Tunnel kommen aufgrund falscher IPs usw. hängenbleiben !!
Bei dem 1000fachen geNATe auch nicht weiter verwunderlich das da ggf. eine Regel falsch ist ?!
Du kannst doch immer mit Traceroute oder Pathping schrittweise sehen wie weit du kommst. Da wo Schluss ist ist auch der Fehler !
Bei dem 1000fachen geNATe auch nicht weiter verwunderlich das da ggf. eine Regel falsch ist ?!
Du kannst doch immer mit Traceroute oder Pathping schrittweise sehen wie weit du kommst. Da wo Schluss ist ist auch der Fehler !
Nein, NAT-T hat nichts mit einem IP Forwarding zu tun, das ist Unsinn. Hier kannst du den Mechanismus nachlesen:
http://www.elektronik-kompendium.de/sites/net/0906191.htm
bzw.
http://www.cisco.com/en/US/docs/ios/12_2t/12_2t13/feature/guide/ftipsna ...
ESP wird nur in UDP 4500 gekapselt !
Es kann auch nicht richtig sein das wenn die SH den Tunnel aufbaut das dort eine gültige ESP Session zustandekommt. Hast du am Cisco mal den Debugger laufen lassen und dir die Session mal angesehen ?
Kann es ggf. sein das du durch die doppelte Kapselung ein MTU problem hast das die MTU nicht sauber negotiated wird. Ein klasssiches Problem bei VPN und die Symptome sprechen ebenfalls dafür. Aber nur wenn tatsächlich beim SH Aufbau wirklich der Tunnel fehlerfrei zustandekommt !
http://www.elektronik-kompendium.de/sites/net/0906191.htm
bzw.
http://www.cisco.com/en/US/docs/ios/12_2t/12_2t13/feature/guide/ftipsna ...
ESP wird nur in UDP 4500 gekapselt !
Es kann auch nicht richtig sein das wenn die SH den Tunnel aufbaut das dort eine gültige ESP Session zustandekommt. Hast du am Cisco mal den Debugger laufen lassen und dir die Session mal angesehen ?
Kann es ggf. sein das du durch die doppelte Kapselung ein MTU problem hast das die MTU nicht sauber negotiated wird. Ein klasssiches Problem bei VPN und die Symptome sprechen ebenfalls dafür. Aber nur wenn tatsächlich beim SH Aufbau wirklich der Tunnel fehlerfrei zustandekommt !