---

Jeg læste i en tidligere tråd, at nogle producenter pakker IP-sec-pakker ind
i UDP-pakker for at komme udenom NAT ......

Hvorfor gør de lige netop det?
Hvorfor kommer IPsec-pakker uden om NAT, hvis de bare er i en UDP-pakke?
eller i et UDP-segmant hedder det vistnok

Mange Hilsener
Keld
DK-2600 Glostrup

---

Den Thu, 17 Jan 2002 21:48:36 +0100 skrev Keld O. Andersen:
>
>Jeg læste i en tidligere tråd, at nogle producenter pakker IP-sec-pakker ind
>i UDP-pakker for at komme udenom NAT ......
>
>Hvorfor gør de lige netop det?
>Hvorfor kommer IPsec-pakker uden om NAT, hvis de bare er i en UDP-pakke?
>eller i et UDP-segmant hedder det vistnok

Problemet med IPsec er at der er en signatur på selve pakken, incl.
ip-numre, for at checke at der ikke er fusket undervejs. Og da en
NAT netop ændrer på ip-numrene, vil signaturen ikke passe, og pakken
er ubrugelig. Derfor pakker man den ind i UDP, således at signaturen
IKKE dækker UDP-pakken, og da NAT kun piller ved UDP-pakken (den ligger
yderst), så bliver IPsec-pakken ikke ødelagt.

Mvh
Kent
--
Demokrati er lige som den 29. februar - begge dele forekommer
en gang hver fjerde år.

---

Hej Keld

> Hvorfor kommer IPsec-pakker uden om NAT, hvis de bare er i en UDP-pakke?
> eller i et UDP-segmant hedder det vistnok

Du mener (UDP-)datagram. Segmenter hører til i netværk(fysiske eller
logiske). Fragmenter hører til i TCP og evt. andre steder. Fragmenteres
andre (lavere) protokoller også (eks. IP, ICMP)?

Mvh. Michael
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

Den Fri, 18 Jan 2002 11:48:46 +0100 skrev Michael Knudsen:
>Hej Keld
>
>> Hvorfor kommer IPsec-pakker uden om NAT, hvis de bare er i en UDP-pakke?
>> eller i et UDP-segmant hedder det vistnok
>
>Du mener (UDP-)datagram. Segmenter hører til i netværk(fysiske eller
>logiske). Fragmenter hører til i TCP og evt. andre steder. Fragmenteres
>andre (lavere) protokoller også (eks. IP, ICMP)?

Det er de nødt til. Hvad skulle man ellers gøre ved en 1500byte pakke
der når til en router med en MTU på 1200?

Mvh
Kent
--
Desuden kan jeg ikke se nogen grund til at springe over hvor gærdet er
lavest, når man kan vente på at det alligevel bliver revet ned fordi
der skal bygges en omfartsvej...
- Claus Frørup og Asbjørn Christensen i dk.snak.

---

Hej Kent

> Det er de nødt til. Hvad skulle man ellers gøre ved en 1500byte pakke
> der når til en router med en MTU på 1200?

Det anede mig nok. Jeg havde vist forvirret mig selv til at tro, at det
var et flag i TCP-headeren, der markerede, at pakken var fragmenteret.
Dette får mig til at tænke på, at jeg engang læste noget om, at man
kunne 'snyde' pakker forbi visse (dårlige) firewalls, hvis man
fragmenterede dem. Det er vel ikke aktuelt længere?

Mvh. Michael
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

Keld O. Andersen wrote:

>
>
>Hvorfor gør de lige netop det?
>Hvorfor kommer IPsec-pakker uden om NAT, hvis de bare er i en UDP-pakke?
>eller i et UDP-segmant hedder det vistnok
>
Et andet problem er at det der benævnes NAT sjældent er NAT, man PAT
(Port Address Translation). Hvis man vil have rigtigt fordel af
adresseoversættelse, så er det hensigtsmæssigt at mange interne adresser
kan bruge f.eks. én ekstern adresse.

Da port begrebet kun er implementeret i protokol 6 (TCP) og protokol 17
(UDP), så lader det sig ikke gøre at sende en Protokol 50 (ESP) pakke
igennem.

Men hvis man indkapsler den i UDP så går det.

--
Med venlig hilsen

Lars P. Møller

Kongevejen 20
Endelave
8700 Horsens
Tlf. 29 48 06 38 - 75 68 94 14
mailto://larsmo@post3.tele.dk
http://www.wmsecurity.dk