---

Findes der blandt de efterhånden mange low-end dsl-routere mon en som
understøtter flere IPsec forbindelser (med Cisco klient)? Jeg har to
maskiner på en DSL-linje som gerne skulle kunne forbinde sig på samme
tid, men alle de bokse jeg har haft fingerene i, har kun understøttet én
samtidig forbindelse. Tillader NAT i sin definition overhovedet flere
forbindelser?

Da begge maskiner skal forbinde sig til samme kontor alligevel, kunne
det måske være en idé at gå efter en hardware-løsning i stedet? Hvilke
Cisco-bokse skal man i såfald gå efter (evt. placeret bag eksisterende
dsl-router)?

Anon

---

On Fri, 25 Jun 2004 02:09:03 +0200, Anon <address@is.invalid>
wrote:

> Findes der blandt de efterhånden mange low-end dsl-routere mon
> en som understøtter flere IPsec forbindelser (med Cisco klient)?

Hvis du ændrer dit VPN-setup til at køre IPSec over UDP eller
TCP, burde det virke med stort set alle NAT-routere, også med
flere klienter.

-A

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:qg3od05ph356ufi3hb48j3am1ihj6ktfim@news.sunsite.dk...

> Hvis du ændrer dit VPN-setup til at køre IPSec over UDP eller
> TCP, burde det virke med stort set alle NAT-routere, også med
> flere klienter.

Betyder det at det er muligt at lave flere VPN-client connections til eks.
en PIX 515, samtidig fra samme IP?

Jeg har problemet idag, hvor der kun kan være en klient pr. IP-nr. på ad
gangen. Vi oplever det når flere af vores folk logger på (forsøger) fra eks.
et kursuscenter eller et hotel de er samlet på.

Vi bruger Cisco VPN Client 4.0.2(A)


/Brian

---

On Fri, 25 Jun 2004 15:53:10 +0200, "Brian R. Jensen"
<brjensen@mail.tele.dk> wrote:

>> Hvis du ændrer dit VPN-setup til at køre IPSec over UDP eller
>> TCP, burde det virke med stort set alle NAT-routere, også med
>> flere klienter.

> Betyder det at det er muligt at lave flere VPN-client connections
> til eks. en PIX 515, samtidig fra samme IP?

Jeg mente, det er muligt at køre IPSec over UDP eller TCP til en
VPN3000-koncentrator. Det er vist stadig en af de features, hvor
de to platforme er forskellige.

-A

---

Asbjorn Hojmark wrote:

> On Fri, 25 Jun 2004 15:53:10 +0200, "Brian R. Jensen"
> <brjensen@mail.tele.dk> wrote:
>
>
>>>Hvis du ændrer dit VPN-setup til at køre IPSec over UDP eller
>>>TCP, burde det virke med stort set alle NAT-routere, også med
>>>flere klienter.
>
>
>>Betyder det at det er muligt at lave flere VPN-client connections
>>til eks. en PIX 515, samtidig fra samme IP?
>
>
> Jeg mente, det er muligt at køre IPSec over UDP eller TCP til en
> VPN3000-koncentrator. Det er vist stadig en af de features, hvor
> de to platforme er forskellige.
>
> -A


PIX OS 6.3 kan lave UDP- encap. på port 4500 vha "isakmp nat-traversal"
kommandoen, mener jeg

-A, du må lige råbe op, hvis jeg er way off...

/Rubeck

---

On Sat, 26 Jun 2004 01:06:27 +0200, Kim Rubeck Jensen
<rubz_@_SPM-Rubeck_.dk> wrote:

>> Jeg mente, det er muligt at køre IPSec over UDP eller TCP til en
>> VPN3000-koncentrator. Det er vist stadig en af de features, hvor
>> de to platforme er forskellige.

> PIX OS 6.3 kan lave UDP- encap. på port 4500 vha "isakmp nat-traversal"
> kommandoen, mener jeg

Hmm, jeg har ikke prøvet det.

-A

---

Asbjorn Hojmark wrote:
> Hvis du ændrer dit VPN-setup til at køre IPSec over UDP eller
> TCP, burde det virke med stort set alle NAT-routere, også med
> flere klienter.
Hvis man ikke kører IPSec over hverken TCP eller UDP - hvad kører man
det så over? Så vidt jeg kan se, kører vi nemlig allerede over UDP
(sådan er det i hvert fald angivet i klienten). Er det blot et spørgsmål
om at jeg har uheldig i mit valg af routere? Hvis det er tilfældet,
ville jeg blive glad for én navngiven model, som understøtter det
ønskede.

Anon

---

On Fri, 25 Jun 2004 18:59:29 +0200, Anon <address@is.invalid>
wrote:

>> Hvis du ændrer dit VPN-setup til at køre IPSec over UDP eller
>> TCP, burde det virke med stort set alle NAT-routere, også med
>> flere klienter.

> Hvis man ikke kører IPSec over hverken TCP eller UDP - hvad kører
> man det så over?

IPSec er en familie af protokoller, så det kan variere lidt.
Typisk vil der være tale om ISAKMP (IKE), der er 500/UDP, og ESP,
der er 50/IP.

> Så vidt jeg kan se, kører vi nemlig allerede over UDP (sådan er
> det i hvert fald angivet i klienten).

En nyere klient (V4) vil i hovedbilledet vist Transport for den
enkelte Connection Entry. Hvis man kører IPSec over UDP står der
"IPSec/UDP" og tilsvarende for TCP. Hvis man højreklikker på en
entry og vælger Modify, kan man finde de tilsvarende
informationer under fanebladet Transport.

Uanset hvad man sætter, skal det selvfølgelig være supporteret
(slået til) på koncentratoren.

Når forbindelsen er oppe, kan man se hvad man faktisk kører med
ved at højreklikke på hængelås-ikonen i system tray og vælge
Statistics, så står det i nederste højre hjørne under Transport.

> Er det blot et spørgsmål om at jeg har uheldig i mit valg af
> routere?

Det er muligt, men jeg synes ikke, det er voldsomt sandsynligt.

> Hvis det er tilfældet, ville jeg blive glad for én navngiven
> model, som understøtter det ønskede.

Som sagt er det de fleste. Bl.a. virker det fint på min Cisco
827, på 677-routere, over PIX, Nokia/FW-1 og NetScreen firewalls
etc.

Hvad er det for et DSL-setup, hvor du har haft problemet?

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/