[Pluto-security]
Impossibile nattare ed impossibile non nattare, come faccio?!?
Roberto Polli
robertopolli at tiscali.it
Sun Mar 16 22:53:10 CET 2003
Ciao a tutti,
mi trovo davanti ad una situazione imbarazzante
le mie scarse conoscenze di
Linux non mi aiutano a capire come venire a capo del problema che ho
presentato in oggetto.
Il mio problema è questo: mi trovo di fronte ad una comunicazione tra un
client hardware CISCO VPN3000CONCENTRATOR che tenta di comunicare con un
CISCO 3002VPN CLIENT, ma in mezzo c’è un simpatico firewall linux... Ora
cerco di fare chiarezza:
Supponiamo che tutti gli ip dell’esempio siano pubblici tranne quelli di
classe C.
VPN 3000 CONCENTRATOR sia IP=172.16.32.2
che tra il concentrator e il mio ROUTER CISCO SOHO 77 ci sia INTERNET
ROUTER CISCO SOHO sia IP=10.0.0.1
che dietro al router, all’interno, ci sia il mio FIREWALL LINUX 2.4.20
FIREWALL LINUX sia IP=10.1.1.2 (eth0 - IFesterna)
FIREWALL LINUX sia IP=192.168.0.1 (eth1 - IFinterna)
e che dietro al firewall ci sia il CISCO 3002 VPN CLIENT
CISCO 3002 VPN CLIENT sia IP=10.1.1.6
Logicamente la rete dovrebbe presentarsi così:
_________ _________ _______ ________ __________
| | | | | | | | | |
|VPN CONC |--|INTERNET |--|ROUTER |--|FIREWALL|--|VPN CLIENT|
|_________| |_________| |_______| |________| |__________|
Dunque io devo essere in grado di far passare tutto tramite il firewall
linux, ma il problema dov'è? Sul firewall avrò 2 schede di rete, 1 con IP
pubblico e l'altra con IP privato. Quella con IP privato punterà al VPN
CLIENT che però ha un IP pubblico e quindi non si parleranno mai...
Detto questo potrei comunque nattare l'IP pubblico del VPN client e vederlo
con un IP privato, non fosse che i dati trasmessi in VPN tramite protocollo
IPSEC non possono essere nattati perchè l'IPSEC è nato per evitare il
fenomeno del MEN in the MIDDLE, quindi se nattassi i pacchetti IPSEC non
arriverebbero mai al VPN CLIENT.
I servizi che devono passare sono questi:
Service Protocol
PPTP Control Connection 6 (TCP)
PPTP Tunnel Encapsulation 47 (GRE)
ISAKMP/IPSEC Key Management 17 (UDP)
IPSEC Tunnel Encapsulation 50 (ESP)
IPSEC NAT Transparency 17 (UDP)
Esiste un modo per aggirare questo problema?!? Aiutatemi...
Grazie, Roberto
More information about the pluto-security
mailing list