---

Hej!
Hvis jeg vil have en VPN maskine bagved en C677 så vil jeg vel komme ud i
noget farligt noget når jeg skal have den til at forstå ESP/AH da jeg har
indtrykket af den ikke forstå GRE så kan jeg vist også godt afskrive ESP/AH
eller?
Vil dette problem gå i sig hvis jeg sender alt trafik videre til den
ipadresse hvor jeg ønsker at køre min VPN? (self kompineret med nogle
firewall regler på den maskine der blokerer for alt andet end det jeg ønsker
at få ind.)

/Dennis

---

On Sun, 13 Jan 2002 00:07:03 +0100, "Dennis Pedersen"
<usenetspam@*FJERNDETTE*daydreamer.dk> wrote:

> Hvis jeg vil have en VPN maskine bagved en C677 så vil jeg vel
> komme ud i noget farligt noget når jeg skal have den til at
> forstå ESP/AH

Man kan som protokol angive TCP, UDP eller ICMP, så ja.

> Vil dette problem gå i sig hvis jeg sender alt trafik videre til
> den ipadresse hvor jeg ønsker at køre min VPN?

Ja.

Der er dog det forbehold, at du skal køre IPSec i tunnel mode og
uden AH. Det virker ikke i transport mode (pga. checksums) eller
med AH.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:bmg14uk2u1tglaucvo7sk2jj1iv5vkpr21@news.worldonline.dk...
> On Sun, 13 Jan 2002 00:07:03 +0100, "Dennis Pedersen"
> <usenetspam@*FJERNDETTE*daydreamer.dk> wrote:
>
> > Hvis jeg vil have en VPN maskine bagved en C677 så vil jeg vel
> > komme ud i noget farligt noget når jeg skal have den til at
> > forstå ESP/AH
>
> Man kan som protokol angive TCP, UDP eller ICMP, så ja.

Kan man på SOHO77 eller Cisco 827 angive de protokoller til VPN eller er man
nød til at lave et lignende stunt med at forwarde alt?

> > Vil dette problem gå i sig hvis jeg sender alt trafik videre til
> > den ipadresse hvor jeg ønsker at køre min VPN?
>
> Ja.
>
> Der er dog det forbehold, at du skal køre IPSec i tunnel mode og
> uden AH. Det virker ikke i transport mode (pga. checksums) eller
> med AH.

aiaiai
Er det 677'eren der gør at jeg ikke kan køre i transport mode? (fordi det
var egentlig meningen der også skulle nogle hjemmearbdspladser på denne måde
:()
Hvad er det der hindrer at den ikke kan finde ud af transport mode? , er det
et lignende problem med Speedstream routerne (her tænker jeg specifikt på
5711)?

/Dennis

---

On Sun, 13 Jan 2002 00:25:12 +0100, "Dennis Pedersen"
<usenetspam@*FJERNDETTE*daydreamer.dk> wrote:

> Kan man på SOHO77 eller Cisco 827 angive de protokoller til VPN eller
> er man nød til at lave et lignende stunt med at forwarde alt?

For IOS-routerne kan man kun angive TCP eller UDP (ip nat inside
source static <protokol> etc.'. Men i det mindste kan man i rou-
teren lave nogle fornuftige filtre, der smider alt det væk, man
ikke vil have ind på indersiden. Og på 827 kan man bruge firewall
feature set til at gøre dette endnu sikrere.

>> Der er dog det forbehold, at du skal køre IPSec i tunnel mode og
>> uden AH. Det virker ikke i transport mode (pga. checksums) eller
>> med AH.

> Er det 677'eren der gør at jeg ikke kan køre i transport mode?

Nej det er fordi transport mode og AH basalt set ikke kan NAT'es.

> Hvad er det der hindrer at den ikke kan finde ud af transport mode?

http://www.cisco.com/warp/public/759/ipj_3-4/ipj_3-4_nat.html

> er det et lignende problem med Speedstream routerne

Ja.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:dvk14u4ofuv5epaii3hao5qv9ncjuvupcr@news.worldonline.dk...
> On Sun, 13 Jan 2002 00:25:12 +0100, "Dennis Pedersen"
> <usenetspam@*FJERNDETTE*daydreamer.dk> wrote:
>
> > Er det 677'eren der gør at jeg ikke kan køre i transport mode?
>
> Nej det er fordi transport mode og AH basalt set ikke kan NAT'es.
>
> > Hvad er det der hindrer at den ikke kan finde ud af transport mode?
>
> http://www.cisco.com/warp/public/759/ipj_3-4/ipj_3-4_nat.html

Ævs
Efter at have læst det doc ser det ud til der er lidt håb hvis jeg kan få
slået TCP checksum fra :)
Anyways mange tak!

/Dennis

---

"Dennis Pedersen" <usenetspam@*FJERNDETTE*daydreamer.dk> skrev i en
meddelelse news:hi308.18495$Zm5.1769406@news000.worldonline.dk...
> Hej!
> Hvis jeg vil have en VPN maskine bagved en C677 så vil jeg vel komme ud i
> noget farligt noget når jeg skal have den til at forstå ESP/AH da jeg har
> indtrykket af den ikke forstå GRE så kan jeg vist også godt afskrive
ESP/AH
> eller?

Jeg kører uden problemer IP protokol 50 over min Cisco 677 router. Om det er
ESP/AH eller noget andet ved jeg faktisk ikke.
Jeg bruger SafeNet VPN klienten op imod en WatchGuard FireBox 700.
Routeren forstår GRE uden problemer. Jeg kører PPTP fra min arbejdsstation
ud gennem en Cisco 677 og ind i gennem en anden Cisco 677 til en Windows
2000 server.
Firmware i Cisco 677 skal være min. v2.3.5.012 såvidt jeg ved.

> Vil dette problem gå i sig hvis jeg sender alt trafik videre til den
> ipadresse hvor jeg ønsker at køre min VPN? (self kompineret med nogle
> firewall regler på den maskine der blokerer for alt andet end det jeg
ønsker
> at få ind.)

Hvis du ønsker at forwarde trafik til en intern server kan du gøre det med
kommandoen:

SET NAT ENTRY ADD internserver-IP 0 wan-IP 0 50

eller for PPTP (m/GRE trafik):

SET NAT ENTRY ADD internserver-IP 0 wan-IP 0 47
SET NAT ENTRY ADD internserver-IP 1723 wan-IP 1723 tcp

Jens

---

"Jens" <jens@_NOSPAM_get2net.dk> skrev i en meddelelse
news:ndd08.18884$Zm5.1793014@news000.worldonline.dk...

Så lige denne: <3HL%7.489$WW4.356238424@news.orangenet.dk>
Som du måske kan bruge......

Jens

---

Prøver lige igen!

Så lige denne: <news:3HL%7.489$WW4.356238424@news.orangenet.dk>
Som du måske kan bruge......

Jens

---

Prøver lige igen, alle gode gange 3 !!!

Så lige denne (nu er den der!):
<news:wU108.13539$aS.1867176@news010.worldonline.dk> Som du måske kan
bruge......

Jens

---

Så skal vi lige tage denne igen:

Hvis du ønsker at forwarde trafik til en intern server kan du gøre det med
kommandoen:

Altså for ESP:

SET NAT ENTRY ADD internserver-IP 0 wan-IP 0 50
SET NAT ENTRY ADD internserver-IP 500 wan-IP 500 udp

for AH:

SET NAT ENTRY ADD internserver-IP 0 wan-IP 0 51
SET NAT ENTRY ADD internserver-IP 500 wan-IP 500 udp

eller for PPTP (m/GRE trafik):

SET NAT ENTRY ADD internserver-IP 0 wan-IP 0 47
SET NAT ENTRY ADD internserver-IP 1723 wan-IP 1723 tcp

Ud af routeren er der ikke noget problem med mindre ovenstående er
indtastet, så kræver det nemlig at du sidder på den PC med internserver-IP.

Jens

---

"Jens" <jens@_NOSPAM_get2net.dk> wrote in message
news:ndd08.18884$Zm5.1793014@news000.worldonline.dk...
> "Dennis Pedersen" <usenetspam@*FJERNDETTE*daydreamer.dk> skrev i en
> meddelelse news:hi308.18495$Zm5.1769406@news000.worldonline.dk...
> > Hej!
> > Hvis jeg vil have en VPN maskine bagved en C677 så vil jeg vel komme ud
i
> > noget farligt noget når jeg skal have den til at forstå ESP/AH da jeg
har
> > indtrykket af den ikke forstå GRE så kan jeg vist også godt afskrive
> ESP/AH
> > eller?
>
> Jeg kører uden problemer IP protokol 50 over min Cisco 677 router. Om det
er
> ESP/AH eller noget andet ved jeg faktisk ikke.
> Jeg bruger SafeNet VPN klienten op imod en WatchGuard FireBox 700.
> Routeren forstår GRE uden problemer. Jeg kører PPTP fra min arbejdsstation
> ud gennem en Cisco 677 og ind i gennem en anden Cisco 677 til en Windows
> 2000 server.
> Firmware i Cisco 677 skal være min. v2.3.5.012 såvidt jeg ved.

Så vidt jeg forstår den artikkel A.H henviste til så er det et specifikt
problem med IPsec. Det lader vist til jeg er pisked til at hoppe på PPTP
lige bedst som man er ved at forstå det proggy der skal håndtere IPsec,
typisk! ;)

/Dennis

---

"Dennis Pedersen" <usenetspam@*FJERNDETTE*daydreamer.dk> skrev i en
meddelelse news:eNe08.18968$Zm5.1798780@news000.worldonline.dk...
>
> "Jens" <jens@_NOSPAM_get2net.dk> wrote in message
> news:ndd08.18884$Zm5.1793014@news000.worldonline.dk...
> > "Dennis Pedersen" <usenetspam@*FJERNDETTE*daydreamer.dk> skrev i en
> > meddelelse news:hi308.18495$Zm5.1769406@news000.worldonline.dk...
> > > Hej!
> > > Hvis jeg vil have en VPN maskine bagved en C677 så vil jeg vel komme
ud
> i
> > > noget farligt noget når jeg skal have den til at forstå ESP/AH da jeg
> har
> > > indtrykket af den ikke forstå GRE så kan jeg vist også godt afskrive
> > ESP/AH
> > > eller?
> >
> > Jeg kører uden problemer IP protokol 50 over min Cisco 677 router. Om
det
> er
> > ESP/AH eller noget andet ved jeg faktisk ikke.
> > Jeg bruger SafeNet VPN klienten op imod en WatchGuard FireBox 700.
> > Routeren forstår GRE uden problemer. Jeg kører PPTP fra min
arbejdsstation
> > ud gennem en Cisco 677 og ind i gennem en anden Cisco 677 til en Windows
> > 2000 server.
> > Firmware i Cisco 677 skal være min. v2.3.5.012 såvidt jeg ved.
>
> Så vidt jeg forstår den artikkel A.H henviste til så er det et specifikt
> problem med IPsec. Det lader vist til jeg er pisked til at hoppe på PPTP
> lige bedst som man er ved at forstå det proggy der skal håndtere IPsec,
> typisk! ;)

Hvorfor ? Jeg har lige fortalt dig at det virker med Cisco 677 !

Selvfølgelig kan du benytte PPTP, for det virker også....

Jens

---

"Jens" <jens@_NOSPAM_get2net.dk> wrote in message
news:n6f08.19056$Zm5.1800436@news000.worldonline.dk...
> "Dennis Pedersen" <usenetspam@*FJERNDETTE*daydreamer.dk> skrev i en
> meddelelse news:eNe08.18968$Zm5.1798780@news000.worldonline.dk...
> >
> > "Jens" <jens@_NOSPAM_get2net.dk> wrote in message
> > news:ndd08.18884$Zm5.1793014@news000.worldonline.dk...
> > > "Dennis Pedersen" <usenetspam@*FJERNDETTE*daydreamer.dk> skrev i en
> > > meddelelse news:hi308.18495$Zm5.1769406@news000.worldonline.dk...
> > > > Hej!
> > > > Hvis jeg vil have en VPN maskine bagved en C677 så vil jeg vel komme
> ud
> > i
> > > > noget farligt noget når jeg skal have den til at forstå ESP/AH da
jeg
> > har
> > > > indtrykket af den ikke forstå GRE så kan jeg vist også godt afskrive
> > > ESP/AH
> > > > eller?
> > >
> > > Jeg kører uden problemer IP protokol 50 over min Cisco 677 router. Om
> det
> > er
> > > ESP/AH eller noget andet ved jeg faktisk ikke.
> > > Jeg bruger SafeNet VPN klienten op imod en WatchGuard FireBox 700.
> > > Routeren forstår GRE uden problemer. Jeg kører PPTP fra min
> arbejdsstation
> > > ud gennem en Cisco 677 og ind i gennem en anden Cisco 677 til en
Windows
> > > 2000 server.
> > > Firmware i Cisco 677 skal være min. v2.3.5.012 såvidt jeg ved.
> >
> > Så vidt jeg forstår den artikkel A.H henviste til så er det et specifikt
> > problem med IPsec. Det lader vist til jeg er pisked til at hoppe på PPTP
> > lige bedst som man er ved at forstå det proggy der skal håndtere IPsec,
> > typisk! ;)
>
> Hvorfor ? Jeg har lige fortalt dig at det virker med Cisco 677 !

Eh, slå mig hårdt jeg er åbenbart ikke vågen endnu(!)
WatchGuard FireBox 700 kassen står den også bag en C677er eller?

/Dennis

---

"Dennis Pedersen" <usenetspam@*FJERNDETTE*daydreamer.dk> skrev i en
meddelelse news:Kmf08.19077$Zm5.1801659@news000.worldonline.dk...
>
> "Jens" <jens@_NOSPAM_get2net.dk> wrote in message
> news:n6f08.19056$Zm5.1800436@news000.worldonline.dk...
> > "Dennis Pedersen" <usenetspam@*FJERNDETTE*daydreamer.dk> skrev i en
> > meddelelse news:eNe08.18968$Zm5.1798780@news000.worldonline.dk...
> > >
> > > "Jens" <jens@_NOSPAM_get2net.dk> wrote in message
> > > news:ndd08.18884$Zm5.1793014@news000.worldonline.dk...
> > > > "Dennis Pedersen" <usenetspam@*FJERNDETTE*daydreamer.dk> skrev i en
> > > > meddelelse news:hi308.18495$Zm5.1769406@news000.worldonline.dk...
> > > > > Hej!
> > > > > Hvis jeg vil have en VPN maskine bagved en C677 så vil jeg vel
komme
> > ud
> > > i
> > > > > noget farligt noget når jeg skal have den til at forstå ESP/AH da
> jeg
> > > har
> > > > > indtrykket af den ikke forstå GRE så kan jeg vist også godt
afskrive
> > > > ESP/AH
> > > > > eller?
> > > >
> > > > Jeg kører uden problemer IP protokol 50 over min Cisco 677 router.
Om
> > det
> > > er
> > > > ESP/AH eller noget andet ved jeg faktisk ikke.
> > > > Jeg bruger SafeNet VPN klienten op imod en WatchGuard FireBox 700.
> > > > Routeren forstår GRE uden problemer. Jeg kører PPTP fra min
> > arbejdsstation
> > > > ud gennem en Cisco 677 og ind i gennem en anden Cisco 677 til en
> Windows
> > > > 2000 server.
> > > > Firmware i Cisco 677 skal være min. v2.3.5.012 såvidt jeg ved.
> > >
> > > Så vidt jeg forstår den artikkel A.H henviste til så er det et
specifikt
> > > problem med IPsec. Det lader vist til jeg er pisked til at hoppe på
PPTP
> > > lige bedst som man er ved at forstå det proggy der skal håndtere
IPsec,
> > > typisk! ;)
> >
> > Hvorfor ? Jeg har lige fortalt dig at det virker med Cisco 677 !
>
> Eh, slå mig hårdt jeg er åbenbart ikke vågen endnu(!)
> WatchGuard FireBox 700 kassen står den også bag en C677er eller?

Nej, men du kan i Cisco 677'eren forwarde trafikken til en intern server,
som håndterer IPsec. Det var det jeg skrev med SET NAT osv....
Det har jeg bla. kørende med en Raptor firewall.

Jens

---

"Jens" <jens@_NOSPAM_get2net.dk> wrote in message
news:qrf08.19080$Zm5.1802063@news000.worldonline.dk...
> "Dennis Pedersen" <usenetspam@*FJERNDETTE*daydreamer.dk> skrev i en
> meddelelse news:Kmf08.19077$Zm5.1801659@news000.worldonline.dk...
> >
> > "Jens" <jens@_NOSPAM_get2net.dk> wrote in message
> > news:n6f08.19056$Zm5.1800436@news000.worldonline.dk...
> > > "Dennis Pedersen" <usenetspam@*FJERNDETTE*daydreamer.dk> skrev i en
> > > meddelelse news:eNe08.18968$Zm5.1798780@news000.worldonline.dk...
> > > >
> > > > "Jens" <jens@_NOSPAM_get2net.dk> wrote in message
> > > > news:ndd08.18884$Zm5.1793014@news000.worldonline.dk...
> > > > > "Dennis Pedersen" <usenetspam@*FJERNDETTE*daydreamer.dk> skrev i
en
> > > > > meddelelse news:hi308.18495$Zm5.1769406@news000.worldonline.dk...
> > > > > > Hej!
> > > > > > Hvis jeg vil have en VPN maskine bagved en C677 så vil jeg vel
> komme
> > > ud
> > > > i
> > > > > > noget farligt noget når jeg skal have den til at forstå ESP/AH
da
> > jeg
> > > > har
> > > > > > indtrykket af den ikke forstå GRE så kan jeg vist også godt
> afskrive
> > > > > ESP/AH
> > > > > > eller?
> > > > >
> > > > > Jeg kører uden problemer IP protokol 50 over min Cisco 677 router.
> Om
> > > det
> > > > er
> > > > > ESP/AH eller noget andet ved jeg faktisk ikke.
> > > > > Jeg bruger SafeNet VPN klienten op imod en WatchGuard FireBox 700.
> > > > > Routeren forstår GRE uden problemer. Jeg kører PPTP fra min
> > > arbejdsstation
> > > > > ud gennem en Cisco 677 og ind i gennem en anden Cisco 677 til en
> > Windows
> > > > > 2000 server.
> > > > > Firmware i Cisco 677 skal være min. v2.3.5.012 såvidt jeg ved.
> > > >
> > > > Så vidt jeg forstår den artikkel A.H henviste til så er det et
> specifikt
> > > > problem med IPsec. Det lader vist til jeg er pisked til at hoppe på
> PPTP
> > > > lige bedst som man er ved at forstå det proggy der skal håndtere
> IPsec,
> > > > typisk! ;)
> > >
> > > Hvorfor ? Jeg har lige fortalt dig at det virker med Cisco 677 !
> >
> > Eh, slå mig hårdt jeg er åbenbart ikke vågen endnu(!)
> > WatchGuard FireBox 700 kassen står den også bag en C677er eller?
>
> Nej, men du kan i Cisco 677'eren forwarde trafikken til en intern server,
> som håndterer IPsec. Det var det jeg skrev med SET NAT osv....
> Det har jeg bla. kørende med en Raptor firewall.

Det er jeg bekendt med, men det vare mere i relation til den artikkel ved
Cisco der omtaler at TCP checksummen ikke kommer til at passe hvis man
natter pakkerne.
Derfor var jeg ude efter om den WatchGuard FireBox 700 sad på en 'rigtig'
fast linje med en stribe rigtige ip numre eller den også blot var bag ved
nat :)

/Dennis

---

"Dennis Pedersen" <usenetspam@*FJERNDETTE*daydreamer.dk> skrev i en
meddelelse news:A7g08.19087$Zm5.1805526@news000.worldonline.dk...

> Det er jeg bekendt med, men det vare mere i relation til den artikkel ved
> Cisco der omtaler at TCP checksummen ikke kommer til at passe hvis man
> natter pakkerne.

Men den artikel stemmer jo så ikke overens med virkeligheden i Cisco's egne
produkter.

> Derfor var jeg ude efter om den WatchGuard FireBox 700 sad på en 'rigtig'
> fast linje med en stribe rigtige ip numre eller den også blot var bag ved
> nat :)

WatchGuard FireBox'en jeg nævner har en offentlig IP-adresse på sit
untrusted interface (WAN-interfacet), men den kunne ligeså godt sidde bag en
Cisco 677 som har forwardet trafikken til den, selvom det nok ville være
overkill.
Jeg har jo netop scenariet kørende hvor en Raptor FireWall sidder bag Cisco
677'eren. Om det er en FireBox eller en Raptor er ligemeget, og ja det er
faktisk overkill, men sådan har kunden valgt det.

Min konklusion må være at firmware'n i Cisco 677 boksen kan sagtens håndtere
checksummen korrekt eftersom det jo virker.

Jens

---

"Jens" <jens@_NOSPAM_get2net.dk> wrote in message
news:Mah08.19110$Zm5.1811574@news000.worldonline.dk...
> "Dennis Pedersen" <usenetspam@*FJERNDETTE*daydreamer.dk> skrev i en
> meddelelse news:A7g08.19087$Zm5.1805526@news000.worldonline.dk...
>
> > Det er jeg bekendt med, men det vare mere i relation til den artikkel
ved
> > Cisco der omtaler at TCP checksummen ikke kommer til at passe hvis man
> > natter pakkerne.
>
> Men den artikel stemmer jo så ikke overens med virkeligheden i Cisco's
egne
> produkter.


Spændende..

> > Derfor var jeg ude efter om den WatchGuard FireBox 700 sad på en
'rigtig'
> > fast linje med en stribe rigtige ip numre eller den også blot var bag
ved
> > nat :)
>
> WatchGuard FireBox'en jeg nævner har en offentlig IP-adresse på sit
> untrusted interface (WAN-interfacet), men den kunne ligeså godt sidde bag
en
> Cisco 677 som har forwardet trafikken til den, selvom det nok ville være
> overkill.
> Jeg har jo netop scenariet kørende hvor en Raptor FireWall sidder bag
Cisco
> 677'eren. Om det er en FireBox eller en Raptor er ligemeget, og ja det er
> faktisk overkill, men sådan har kunden valgt det.

Parnoid?, hehe

> Min konklusion må være at firmware'n i Cisco 677 boksen kan sagtens
håndtere
> checksummen korrekt eftersom det jo virker.

Joew deet, jeg må vist lade det komme an på en prøve mandag morgen så!

/Dennis

---

On Sun, 13 Jan 2002 15:52:22 +0100, "Jens"
<jens@_NOSPAM_get2net.dk> wrote:

>> Det er jeg bekendt med, men det vare mere i relation til den
>> artikkel ved Cisco der omtaler at TCP checksummen ikke kommer
>> til at passe hvis man natter pakkerne.

> Men den artikel stemmer jo så ikke overens med virkeligheden i
> Cisco's egne produkter.

Jo. Hvis IPSec virker, er det fordi der køres uden AH og i tunnel
mode.

> Min konklusion må være at firmware'n i Cisco 677 boksen kan
> sagtens håndtere checksummen korrekt eftersom det jo virker.

Min konklusion er, at du kører tunnel mode. Det er da også langt
det mest almindelige, fordi det giver mulighed for at bruge
private adresser i (eller rettere bag) begge ender.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

On Sun, 13 Jan 2002 13:31:10 +0100, "Jens"
<jens@_NOSPAM_get2net.dk> wrote:

>> Så vidt jeg forstår den artikkel A.H henviste til så er det et specifikt
>> problem med IPsec. Det lader vist til jeg er pisked til at hoppe på PPTP
>> lige bedst som man er ved at forstå det proggy der skal håndtere IPsec,
>> typisk! ;)

> Hvorfor ? Jeg har lige fortalt dig at det virker med Cisco 677 !

Det virker ikke at køre IPSec med AH og/eller i transport mode,
hvilket var hvad jeg kommenterede.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/