A Luna Blue - stock.adobe.com
Wie unterscheiden sich NAT Traversal und VPN Passthrough?
IPsec mit einem NAT-Gerät zu verwenden, ist direkt nicht ohne Weiteres möglich. NAT Traversal und VPN Passthrough sind zwei verschiedene Lösungen für dieses Problem.
NAT Traversal und VPN Passthrough zielen beide darauf ab, das gleiche Problem zu lösen (IPsec vs. NAT), aber es sind wirklich unterschiedliche Lösungen.
Die meisten ausgehenden Network Address Translations (NAT) übersetzen tatsächlich sowohl IP-Adressen als auch Ports, damit sich viele Benutzer eine einzige öffentliche IP-Adresse teilen können. Viele VPN-Benutzer haben Probleme, IPsec durch ein NAT-Gerät wie eine Firewall zu senden, weil
a) NAT die IP- und TCP/UDP-Header in den Paketen verändert und damit die Integritätsprüfung von IPsec ungültig macht, und
b) der TCP/UDP-Header in einem IPsec-ESP-Paket verschlüsselt ist, was NAT daran hindert, Ports zuzuordnen.
VPN Passthroughs beheben in der Regel b), indem sie verschlüsselte Pakete ohne Zuordnung von Ports innerhalb der TCP/IP-Nutzlast per NAT übersetzt. Ein IPsec-VPN-Passthrough übersetzt die Quell-IP eines IPsec-ESP-Pakets auf das externe Interface der Firewall und ignoriert dabei die verschlüsselte Nutzlast.
Ein PPTP-VPN-Passthrough übersetzt PPTP-GRE-Pakete auf eine ähnliche Weise. Einige Passthroughs sind auf jeweils einen VPN-Tunnel beschränkt; andere Implementierungen verwenden Felder wie IPsec SPI, um mehrere Tunnel durch ein NAT-Gerät zu multiplexen. VPN Passthrough wird oft in kleineren Unternehmen eingesetzt und ist kein Standard, das Verhalten variiert je nach Produkt.
NAT Traversal oder NAT-T bezieht sich auf eine Reihe von IETF-Internet-Drafts, die a) beheben, indem sie verschlüsselte IPsec-Pakete in einen UDP-Klartext-Wrapper verpacken. Jedes NAT-Gerät kann sowohl die Quell-IP-Adresse als auch den Quell-UDP-Port des Klartext-Wrappers übersetzen, ohne irgendeinen Teil des darin enthaltenen verschlüsselten IPsec-Pakets zu verändern.
Die Herausforderung besteht darin, dass beide Enden des IPsec-Tunnels die gleiche Version von NAT Traversal unterstützen müssen. Sie müssen außerdem in der Lage sein, zu erkennen, wann NAT Traversal verwendet werden soll und die NAT-Zuordnung für die Lebensdauer des Tunnels aufrechterhalten, und so weiter. Viele VPN-Anbieter implementieren NAT-Traversal-Entwürfe.