[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [openbsd-france-misc]NAT et IPSEC

From: Laurent Cheylus <foxy AT free POINT fr>
To: openbsd-france-misc AT openbsd-france POINT org
Subject: Re: [openbsd-france-misc]NAT et IPSEC
Date: Fri, 16 Jul 2004 00:54:53 +0200

Bonsoir,

On Thu, Jul 15, 2004 at 06:52:54PM +0200, brenda AT oreka POINT com wrote:

> Si j'ai bien compris, NAT et IPSEC étant incompatibles, il faut faire du NAT-Transversal.
> QUESTION: OpenNSD 3.x supporte t-il le NAT-Transversal ?

Hakan Olson a commité récemment le support du NAT-Traversal pour
OpenBSD, lors du Hackaton 2004 : voir ma news sur OpenBSD Journal à ce
sujet --> http://undeadly.org/cgi?action=article&sid=20040621042723

Pour utiliser le NAT-T avec IPsec (nécessaire si le tunnel VPN transite
via un équipement faisant de la translation), il faut :

- recuperer les dernières sources d'isakmpd (démon IKE d'OpenBSD) pour
  avoir le support du NAT-T
- recuperer les dernières sources du kernel pour le support d' udpencap
  (encapsulation du protocole ESP dans UDP)
- recompiler le tout : isakmpd supporte NAT-T par défaut

==> en clair, passer en OpenBSD-current pour isakmpd et le kernel.

D'après la mailing openbsd-ipsec-clients, cela fonctionne bien entre 2
gateways OpenBSD qui utilisent NAT-T et entre un OpenBSD (+ NAT-T) et un
FreeBSD / racoon (+ patch NAT-T).

Je n'ai pas encore eu l'occasion de tester mais je compte le faire
bientôt avec un Freeswan / Linux 2.6 et avec un client VPN Nomade SSH
Sentinel 1.4.1.

A++ Foxy.

Follow-Ups:
- Re: [openbsd-france-misc]NAT et IPSEC
  - From: marc
- Re: [openbsd-france-misc]NAT et IPSEC
  - From: Alexandre Dulaunoy

References:
- [openbsd-france-misc]NAT et IPSEC
  - From: brenda AT oreka POINT com

Prev by Date: Re: [openbsd-france-misc]NAT et IPSEC
Next by Date: Re: [openbsd-france-misc]NAT et IPSEC
Previous by thread: Re: [openbsd-france-misc]NAT et IPSEC
Next by thread: Re: [openbsd-france-misc]NAT et IPSEC
Index(es):
- Date
- Thread