ipsec passthrough mit ike am WRT54GS

Re(3): ipsec passthrough mit ike am WRT54GS

patos — Sat, 19 Mar 2005 11:30:23 GMT

Die Pre7a von http://wrt54g.thermoman.de/

Re(3): ipsec passthrough mit ike am WRT54GS

Raydoo — Fri, 18 Mar 2005 20:57:39 GMT

so habs jett nochmal ohne router direct am modem probiert geht
das logfile vom vpn client schaut eigenlich genau gleich aus . grml
das wird wieder ne längere geschicht

Re(2): ipsec passthrough mit ike am WRT54GS

Raydoo — Fri, 18 Mar 2005 20:30:22 GMT

welche version genau ich installier mal wieder die original linksys

Re: ipsec passthrough mit ike am WRT54GS

patos — Fri, 18 Mar 2005 19:11:49 GMT

Also, bei mir läuft der Cisco VPN Client (TU Wien) über den WRT54G super. Natürlich mit Ipsec over UDP. Letzte Sveasoft ist auch drauf.

Re: ipsec passthrough mit ike am WRT54GS

patos — Fri, 18 Mar 2005 19:11:49 GMT

Also, bei mir läuft der Cisco VPN Client (TU Wien) über den WRT54GS super. Natürlich mit Ipsec over UDP. Letzte Sveasoft ist auch drauf.

Re(7): Also entweder ich steh' auf der Leitung...

gepeinigter_aon_neukunde — Fri, 18 Mar 2005 14:25:49 GMT

Aber das paßt' alles net zusammen bei IPSec mit NAT-T.

IPSec "normal" ist nur dann zu verwenden, wenn kein NAT-Device dazwischen
IPSec/NATT klappt - gemäß Doku - immer bei NAT.

So oder so ist auf einem NAT-RTR niemals was wegen IPSec zu berücksichtigen.

Einzige "mögliche" Erklärungen:
[a] Dein Client verwendet eben net NATT.
Dann sollte es so sein, daß _eine_ Connection aus deinem LAN klappt - außer der RTR modifiziert (halb illegal) net nur die SRC-IP, sondern prinzipiell (und net erst ab der 2. parallelen Verbindung) den SRC-Port beim Natten. -> Das könnte den Unterschied ausmachen. Nachdem du aber sagst, daß er NAT-T-ed..
[b] Vielleicht bekommt dein Client jetzt andere lokale IP's vom WLAN-RTR zugewiesen als vom alten - und die Client-Konfig berücksichtigt auch das ganz brav (ähnlich wie in der chap-secrets)...
[c] Zeitgleich eine Config-Änderung am Server - zB AH.

Am RTR kann's net liegen - denn am alten hast ja auch nix wegen IPSec berücksichtigt.

Re(6): Also entweder ich steh' auf der Leitung...

Raydoo — Fri, 18 Mar 2005 14:16:46 GMT

naja die configuration des clients is ja gleich habe nur den router gwechselt

Re(5): Also entweder ich steh' auf der Leitung...

gepeinigter_aon_neukunde — Fri, 18 Mar 2005 14:06:41 GMT

Ergänzend: Ich hab ja keine Ahnung, welche SW du verwendest bzw. kenn die dann auch nicht

Aber auf meinem Belkin-WLAN-RTR (der net einmal die PPtP-Pakete modifizieren kann wie fast alle anderen RTR) klappt IPSec (so wie es sein soll) solange fein zur univie, solange ich der einzige Client in meinem WLAN bin.

zumindest das sollte sich mit deinem RTR auch so verhalten.

Oder könnte es sein, daß deine Firma jetzt plötzlich AH aktiviert hat ? Das würd's erklären....

Re(4): Also entweder ich steh' auf der Leitung...

gepeinigter_aon_neukunde — Fri, 18 Mar 2005 14:02:13 GMT

Nat-T machen aber eben net die RTR in der Mitte...
Der Witz ist ja, daß durch NATT alles transparent für die Routinggschicht' läuft - anders als bei "Normalen" IPSec oder PPTP, die dann Stressen.

Ich wette ein virtuelles Bier, daß es an der IPSec-Config deines Clients liegt - und du beim RTR an der falschen Stelle suchst.

Re(3): Also entweder ich steh' auf der Leitung...

Raydoo — Fri, 18 Mar 2005 13:50:25 GMT

ich verwende nen eigen vpn client von der firmenfirewall und nat-t ist aktiviert is bei mir mit dem netgear ja auch ohne probs gegangen nur jetzt halt mit dem linksys ned grml

Re(2): Also entweder ich steh' auf der Leitung...

gepeinigter_aon_neukunde — Fri, 18 Mar 2005 13:32:18 GMT

Hi !

Also ich bin ja weg von IPSec..
IPSec klappt ja hinter NAT-Devices nur dann toll, wenn der Client NAT-Traversal aktiviert hat und eben alle Pakerl an den Concentrator in UDP-Packerl verpackt. Das Problem hast kurz und gut da beschrieben:
http://www.ipsec-howto.org/x163.html

Der Witz dabei ist also (für den RTR), daß er selbst nix können muß.
Der _CLIENT_ und der Concentrator müssen NAT-Traversal können, dann klappt's, sonst net.
Ich bin nicht draufgekommen, wie man IPSec mit NAT-T mit WinXP-Home-Bordmittel aktiviert und hab' dann OpenVPN.sf.net verwendet - und mit dem allerbeste Erfahrungen gemacht. Wenn das "Dein" Concentrator ist - probier's mal aus.

Ansonsten: Wenn du das Nat-T unter Win aktiviert hast - bitte poste die Lösung hier

Re: Also entweder ich steh' auf der Leitung...

Raydoo — Fri, 18 Mar 2005 13:18:32 GMT

ja sehs grad hab ich falsh beschrieben ich will ja vom desktop ÜBER den router in ein vpn rein

aber der linksys hat mit der opensource firmware ein linux drauf wo man auch verschiedene anwendungen zum laufen bringen könnte .

Also entweder ich steh' auf der Leitung...

gepeinigter_aon_neukunde — Fri, 18 Mar 2005 12:42:43 GMT

.. oder man löst es so, daß die Clients sich am VPN anmelden, net der RTR.

Ausgenommen, der RTR kann wirklich IPSec-Concentrator spielen und du echt so 2 Netze verbinden kannst... Ich dachte, die Teile sind dann aber teurer...

Re(2): ipsec passthrough mit ike am WRT54GS

Raydoo — Fri, 18 Mar 2005 11:11:01 GMT

ja leider wird im logfile nicht angezeigt ob das geblockt wird und ich finde das config file für die iptables nicht

Re: ipsec passthrough mit ike am WRT54GS

Raucher — Fri, 18 Mar 2005 08:29:49 GMT

hatte leider noch nicht die möglichkeit dies zu testen.
pptp passthrough geht aber einwandfrei.

ipsec passthrough mit ike am WRT54GS

Raydoo — Fri, 18 Mar 2005 07:49:01 GMT

hallo,

hat sich schon jemand von euch mit dem WRT54GS in ein VPN per IPSEC verbunden ?
Bei mir geht zwar das IKE aber das PAssthrough scheint nicht zu funzen , verwende die sveasoft version rc7 oder so .

danke

ray

ipsec passthrough mit ike am WRT54GS

Raydoo — Fri, 18 Mar 2005 07:49:01 GMT

hallo,

hat sich schon jemand von euch über den WRT54GS mit einem VPN per IPSEC verbunden ?
Bei mir geht zwar das IKE aber das Passthrough scheint nicht zu funzen , verwende die sveasoft version rc7 oder so .

danke

ray