[Comm] Re: Is there any IPSec passthru NAT solution?

[Maxim Tyurin]

Michael Shigorin <mike на osdn.org.ua> writes:

> On Fri, Jan 28, 2005 at 07:22:55PM +0200, Maxim Tyurin wrote:
>> Напишете plz в нормальном формате.
>> Расшифровкой "кракозябр" имени оутлука нет никакого желания. 
>
> Странно, но mutt Просто Прочитал (tm).

Ну да. Я еще можно нажать ^e и поизображать из себя Штирлица.
В Gnus я могу ^u с таким-же успехом нажимать. Только такой потребности
не испытываю и предпочитаю такое вообще стереть не читая.

>
> ---
> Привет всем.
>
> Подскажите, существует ли под Linux готовое решение для обеспечения работы
> Nortel Network-овского VPN клиента (EAC - Extranet Access Client) в сети за
> NAT-ом?

Вообще-то IPsec через NAT не работает (NAT меняет заголовки пакетов и
при проверке пакета получателем контрольная сумма не совпадает).

Если же туннель работает в режиме  IPsec-over-UDP NAT traversal то
будет работать через NAT.

> В FAQ по этому клиенту сказано, что для его правильной работы гейт,
> обеспечивающий NAT, должен поддерживать IPSec packets passthrough, т.е.
> должен правильно обрабатывать их заголовки и т.п.
> Можно ли это реализовать на файрволле с iptables и/или есть ли готовые
> решения для этого? 

В первом случае проблема не решается (любое изменение заголовков
пакетов разрывает соединение).
Во втором случае нужно просто форвардить UDP пакеты.
-- 

With Best Regards, Maxim Tyurin aka Bungarus
JID:	MrKooll на jabber.pibhe.com