---

Hej,

Jeg har bestilt en Cisco 1401 Router, fordi jeg ønsker flere IP adresser til
web servere, mail servere og en DNS server.
Desuden vil jeg gerne have mulighed for at kunne køre IPSec gennem routeren
(Begge retninger).
Routeren kommer på Onsdag, og ansøgningen til TDC om flere IP adresser, er
også på vej.

Problem:
Jeg har ikke den store erfaring med Cisco Routere (eller andet udstyr fra
Cisco, for den sags skyld), og vil derfor gerne have et par tip, fra en
venlig person der har konfigureret en ligende løsning mod TDC.
En kopi af din konfigurations dokumentation ville være rart...

Tillægsspørgsmål:
Understøtter Cisco 1401 H.323 gennem NAT ?


På forhånd tak...


Venlig hilsen / Best regards

Ronni Pedersen

---

In dk.edb.netvaerk.stort Ronni Pedersen <rp@lyoevej.dk> wrote:

> Jeg har ikke den store erfaring med Cisco Routere (eller andet udstyr fra
> Cisco, for den sags skyld), og vil derfor gerne have et par tip, fra en
> venlig person der har konfigureret en ligende løsning mod TDC.

http://e.wheel.dk/~jesper/1400-proaccess.txt

> En kopi af din konfigurations dokumentation ville være rart...
>
> Tillægsspørgsmål:
> Understøtter Cisco 1401 H.323 gennem NAT ?

Jeg har ikke testet det, men det burde virke i 12.1.5T og nyere.

/Jan

---

Mange tak!


"Jan Chrillesen" <chrille@isa.dknet.dk> wrote in message
news:9ffet9$6dq$1@news.inet.tele.dk...
> In dk.edb.netvaerk.stort Ronni Pedersen <rp@lyoevej.dk> wrote:
>
> > Jeg har ikke den store erfaring med Cisco Routere (eller andet udstyr
fra
> > Cisco, for den sags skyld), og vil derfor gerne have et par tip, fra en
> > venlig person der har konfigureret en ligende løsning mod TDC.
>
> http://e.wheel.dk/~jesper/1400-proaccess.txt
>
> > En kopi af din konfigurations dokumentation ville være rart...
> >
> > Tillægsspørgsmål:
> > Understøtter Cisco 1401 H.323 gennem NAT ?
>
> Jeg har ikke testet det, men det burde virke i 12.1.5T og nyere.
>
> /Jan

---

IPSEC igennem NAT? Det lyder som at bede om problemer... (eller hur?)

mvh /Søren Gellert


"Ronni Pedersen" <rp@lyoevej.dk> wrote in message
news:3b1b3833$0$6038$edfadb0f@dspool01.news.tele.dk...
> Hej,
>
> Jeg har bestilt en Cisco 1401 Router, fordi jeg ønsker flere IP adresser
til
> web servere, mail servere og en DNS server.
> Desuden vil jeg gerne have mulighed for at kunne køre IPSec gennem
routeren
> (Begge retninger).
> Routeren kommer på Onsdag, og ansøgningen til TDC om flere IP adresser, er
> også på vej.
>
> Problem:
> Jeg har ikke den store erfaring med Cisco Routere (eller andet udstyr fra
> Cisco, for den sags skyld), og vil derfor gerne have et par tip, fra en
> venlig person der har konfigureret en ligende løsning mod TDC.
> En kopi af din konfigurations dokumentation ville være rart...
>
> Tillægsspørgsmål:
> Understøtter Cisco 1401 H.323 gennem NAT ?
>
>
> På forhånd tak...
>
>
> Venlig hilsen / Best regards
>
> Ronni Pedersen
>
>
>
>
>

---

On Fri, 8 Jun 2001 14:53:44 +0200, "Søren Gellert"
<slg@scanconsult.dk> wrote:

> IPSEC igennem NAT? Det lyder som at bede om problemer... (eller hur?)

Det behøver ikke være problematisk.

Jeg kører selv praktisk talt dagligt klient-baseret access-VPN
over NAT og firewalls fra forskellige steder. Jeg har også kørt
LAN-to-LAN VPNs over NAT, og også det lader sig gøre.

-A

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:5mk1itgff9u7t47u5esck8mjn5n9srsooo@news.sunsite.dk...

> Jeg kører selv praktisk talt dagligt klient-baseret access-VPN
> over NAT og firewalls fra forskellige steder. Jeg har også kørt
> LAN-to-LAN VPNs over NAT, og også det lader sig gøre.
>
Interessant. Jeg har ikke selv kunnet få det til at virke (ESP + AH). Kunne
du evt. pege mig i retningen af noget dokumentation af dette? Gerne
relateret til *BSD. Eller måske en producent el. to som laver den slags
løsninger,

på forhånd tak,

/Søren

---

On Fri, 8 Jun 2001 16:12:20 +0200, "Søren Gellert"
<slg@scanconsult.dk> wrote:

>> Jeg kører selv praktisk talt dagligt klient-baseret access-VPN
>> over NAT og firewalls fra forskellige steder. Jeg har også kørt
>> LAN-to-LAN VPNs over NAT, og også det lader sig gøre.

> Interessant. Jeg har ikke selv kunnet få det til at virke (ESP + AH).

Nej, AH vil af gode grunde ikke virke. (Der hash'es på hele
pakken inkl. source og destination IP). ESP, derimod, virker
fint, i hvert fald så længe man holder sig til tunnel mode. Så
LAN-to-LAN VPNs kan bringes til at virke, hvis man tænker sig
lidt om.

En anden mulighed er at køre med et produkt, der kan lave både
NAT-delen og IPSec-delen (plus evt. firewall) i samme box. Så kan
man nemlig lave IPSec efter NAT. En ordentlig firewall kan dette,
og nogle routere kan også.

En mulighed, ved klient-baserede access-VPNs, er at køre IKE som
normalt, men at køre IPSec over UDP eller TCP. Ciscos 3000-serie
af concentratorer kan køre IPSec over UDP/10000, mens 5000-serien
kan køre det over TCP/80.

Ovenstående er selvfølgelig lidt bøvlet, men det korte af det
lange er, at det kan lade sig gøre.

> Kunne du evt. pege mig i retningen af noget dokumentation af dette?

Noget af det bedste jeg har set om problematikken er en artikel
fra Internet Protocol Journal, der godt nok udgives af Cisco, men
er relativt leverandør-neutral.
http://www.cisco.com/warp/public/759/ipj_3-4/ipj_3-4_nat.html

> Gerne relateret til *BSD.

Jeg skulle mene FreeS/WAN plus Masquerade på en *IX skulle kunne
gøre det (i hvertfald IPSec efter NAT, men formentlig også det
med at køre uden AH og med ESP i tunnel mode), men *IX er ikke
min stærkeste side.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

> Jeg kører selv praktisk talt dagligt klient-baseret access-VPN
> over NAT og firewalls fra forskellige steder. Jeg har også kørt
> LAN-to-LAN VPNs over NAT, og også det lader sig gøre.

Jeg har oplevet at (ipsec)VPN ikke kunne bringes til at virke op mod en
Cisco dåse, når der blev NAT'et[1]. PPTP mod samme dåse funger til gengæld
fortrinligt.

Det NAT'ende udstyr var en behørigt patchet linuxkasse.

/l.

---

On 08 Jun 2001 16:29:01 GMT, r00t@bofh.microsux.dk (Lars Knudsen)
wrote:

>> Jeg kører selv praktisk talt dagligt klient-baseret access-VPN
>> over NAT og firewalls fra forskellige steder. Jeg har også kørt
>> LAN-to-LAN VPNs over NAT, og også det lader sig gøre.

> Jeg har oplevet at (ipsec) VPN ikke kunne bringes til at virke
> op mod en Cisco dåse, når der blev NAT'et[1].

Jeg vil tro, du har glemt at slå AH fra, eller har kørt ESP i
transport mode. Kan det ikke tænkes at være tilfældet.

> PPTP mod samme dåse funger til gengæld fortrinligt.

PPTP er meget nemmere at få til at fungere over NAT, men det
kræver dog stadig, at NAT-implemenationen forstår PPTP, fordi
udveksling af IP-adresser til opsætning af GRE-tunnelen foregår
som payload i TCP-forbindelsen

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/