[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [openbsd-france-misc]NAT et IPSEC
On Fri, 16 Jul 2004, Laurent Cheylus wrote:
> Bonsoir,
>
> On Thu, Jul 15, 2004 at 06:52:54PM +0200, brenda AT oreka POINT com wrote:
>
> > Si j'ai bien compris, NAT et IPSEC étant incompatibles, il faut faire du NAT-Transversal.
> > QUESTION: OpenNSD 3.x supporte t-il le NAT-Transversal ?
>
> Hakan Olson a commité récemment le support du NAT-Traversal pour
> OpenBSD, lors du Hackaton 2004 : voir ma news sur OpenBSD Journal à ce
> sujet --> http://undeadly.org/cgi?action=article&sid=20040621042723
>
> Pour utiliser le NAT-T avec IPsec (nécessaire si le tunnel VPN transite
> via un équipement faisant de la translation), il faut :
>
> - recuperer les dernières sources d'isakmpd (démon IKE d'OpenBSD) pour
> avoir le support du NAT-T
> - recuperer les dernières sources du kernel pour le support d' udpencap
> (encapsulation du protocole ESP dans UDP)
> - recompiler le tout : isakmpd supporte NAT-T par défaut
>
> ==> en clair, passer en OpenBSD-current pour isakmpd et le kernel.
>
> D'après la mailing openbsd-ipsec-clients, cela fonctionne bien entre 2
> gateways OpenBSD qui utilisent NAT-T et entre un OpenBSD (+ NAT-T) et un
> FreeBSD / racoon (+ patch NAT-T).
>
> Je n'ai pas encore eu l'occasion de tester mais je compte le faire
> bientôt avec un Freeswan / Linux 2.6 et avec un client VPN Nomade SSH
> Sentinel 1.4.1.
Cela fonctionne entre un Cisco et OpenBSD sans trop de probleme en
tunnel mode avec OpenBSD-current.
Pour la note, si vous avez le controle des deux cotes, je ne peux que
conseiller OpenVPN[1] (version 2.0) a la place de ipsec. OpenVPN ne
se preoccupe pas du NAT et il est vraiment tres chouette a configurer
compare a ipsec...
http://openvpn.sf.net/
--
-- Alexandre Dulaunoy (adulau) -- http://www.foo.be/
-- http://pgp.ael.be:11371/pks/lookup?op=get&search=0x44E6CBCD
-- "Knowledge can create problems, it is not through ignorance
-- that we can solve them" Isaac Asimov