Pagina 1 di 1
nat traversal
Inviato: lun 16 lug , 2007 2:53 pm
da aries58net
Qualcuno mi puo' spiegare in cosa diavolo consiste questo NAT traversal ???
Di cui sento parlare continuamente .. nn è forse quello che già faccio io per avere un ID alto con emule ? : ip nat inside source static....etc
E che cosa c'entra con la VPN , piu' precisamente con IKE..
e' che son curioso ...
Inviato: lun 16 lug , 2007 2:58 pm
da mondin.luca
Il nat traversal permette di creare una vpn attraverso una configurazione con nat. incapsula cioè i pacchetti TCP e permette di farli passare attraverso il nat, cosa non possibile se non si abilita l'opzione isakmp nat traversal
ciao!
tutto è nato con HSRP e il DPD........
Inviato: mer 18 lug , 2007 10:34 am
da aries58net
Questo è uno stralcio di codice dell'ASA 5505 che stabilisce le VPN con 3 siti remoti.
Siccome uno dei 3 siti è "critico" perchè fa parte dello stesso dominio windows 2000, ho pensato di creare una VPN ridondata tramite HSRP e il DPD ( dead peer detection). Ora , per fare funzionare HSRP hai bisogno di assegnare indirizzi privati che poi vengono nattati sull'indirizzo pubblico che serve per il peer della VPN..
Domanda da 100 milioni...è per questo che i sistemisti dela ditta fornitrice mi hanno parlato di implementazione del NAT traversal? : per via che, con l'HSRP devo per forza nattare staticamente l'indirizzo privato dei 2 router (active e standby) nell'indirizzo pubblico che mi servirà per stabilire le IKE peer ???
Codice: Seleziona tutto
crypto map outside_map interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto isakmp nat-traversal 60 <<<<<<<<<<<<<<<<<<<<<<<<<<<
tunnel-group xxxxxxxxxxxxx ipsec-attributes
isakmp keepalive threshold 10 retry 2
tunnel-group xxxxx type ipsec-ra
tunnel-group xxxx general-attributes
address-pool xxxxx
authentication-server-group InternalRadius
default-group-policy xxxxxxxx
tunnel-group Lugo ipsec-attributes
pre-shared-key xxxxxxxxxx
isakmp keepalive threshold 10 retry 2
tunnel-group x.y.z.w type ipsec-l2l
tunnel-group x.y.z.w ipsec-attributes
pre-shared-key xxxxxxxxxxxxxxxxxxx
tunnel-group x.y.z.w type ipsec-l2l
tunnel-group x.y.z.w ipsec-attributes
pre-shared-key xxxxxxxxxxxxxxxx
tunnel-group x.y.z.w type ipsec-l2l
tunnel-group x.y.z.w ipsec-attributes
pre-shared-key xxxxxxxxxxxxxx
telnet timeout 5
ssh x.s.a.q. x.x.x.0 inside
ssh timeout 20
console timeout 0
dhcpd auto_config outside
!
!
!
TIA
p.s
chi mi risponde è bravo : nn ho capito neanche io quello che ho scritto!!!
beh , insomma non proprio tutto !
Inviato: ven 20 lug , 2007 8:50 am
da aries58net
Che c'è .... anybody out there ? Ho scritto qualcosa di troppo complicato, oppure ho scritto una C...ta immonda ! ?
Inviato: ven 20 lug , 2007 9:36 am
da andrewp
Non conosco gli ASA...ma non ho capito il tuo problema, tu vuoi sapere del perchè ti hanno parlato di nat trasversal?!
Inviato: mar 07 ago , 2007 4:29 pm
da aries58net
vorrei, a questo punto, capire che cosa è ....semplicemente...
Inviato: mar 07 ago , 2007 11:29 pm
da zot
http://en.wikipedia.org/wiki/NAT_traversal
Da quello che ho capito io in soldoni.... se tu fai una VPN che termina sull'interfaccia interna di un Firewall,il router dalla cui interfaccia interna è partita la VPN non sa a chi deve ributtare i pacchetti che gli ritornano dal Firewall attraverso l'interfaccia esterna.
Sempre se non mi sono fatto troppe canne in gioventù,questo sucede perche il traffico VPN "inscatola" il frame IP (dove c'è scritto IP origine/IP destinazione)...OK magari so cavolate oppure lo sapevate già tutti....ma allora che fa il NAT-T??Molto semplice : dice al router da quale IP sulla sua interfaccia(quella del router)è partita la VPN!!!
meno ma molto meno dei soldoni
http://tools.ietf.org/html/rfc3947#page-9
Le RFC sono preziosissime per togliersi certi dubbi,solitamente,scritte in inglese semplice e..... inoppugnabili....
io una curiosità però ce l'avrei : con
crypto isakmp nat-traversal... il nat traversal viene abilitato globalmente per tutti o si può in qualche modo circoscriverlo a gruppi ?..
Inviato: mer 08 ago , 2007 9:01 am
da Wizard
io una curiosità però ce l'avrei : con crypto isakmp nat-traversal... il nat traversal viene abilitato globalmente per tutti o si può in qualche modo circoscriverlo a gruppi ?
E' un parametro di isakmp e quindi direi su tutti
Inviato: mer 08 ago , 2007 10:40 am
da aries58net
nn mi è chiarissimo....forso io mi sono fatto troppe canne in gioventu' !!!!!
in ogni caso si parla di NAT-T solo in concomitanza delle VPN....
Ammetto di essere confuso
qualcuno puo essere piu' chiaro
acche.....zzo serve sto benedetto NAT-T!!!!!!
Inviato: mer 08 ago , 2007 11:08 am
da Wizard
Molto semplicemente serve per fare comunicare 2 reti in vpn entrambe dietro ad un nat.
lan 1 - router (nat) --- internet (vpn) --- router (nat) - lan 2
Inviato: mer 08 ago , 2007 11:46 am
da aries58net
ok.. forse me la fecevo troppo complicata io!!!
Thanks