[HaBo]

Pyry · 16.11.05, 16:17

Hallo,

ich bin gerade dabei mein IHK-Projekt fertig zu stellen. Thema dabei ist ganz groß VPN.
Bin jetzt beim Thema IPsec über eine unstimmigkeit beim Authentication Header (AH) gestolpert :(

Das lektronik-kompendium sagt dazu:

"AH bildet über das gesamte IP-Datenpaket eine Prüfsumme und fügt sie zwischen dem IP-Header und dem TCP-Header in das zu übertragende Paket ein. Über die Prüfsumme ist beim Empfänger die Vollständigkeit und Korrektheit der Daten und die Identität des Absenders feststellbar. Dieses Verfahren bereitet Probleme im Zusammenhang mit einem NAT-Router. Denn die Absender-Adresse stimmt mit der Adresse im Orginal-Header nicht überein. Der NAT-Router manipuliert die IP-Adressen. Dadurch wird ein solches Datenpaket beim Empfänger als ungültig verworfen."

Wikipedia sagt dazu jedoch:

"Der Authentication Header (AH) soll die Integrität und Authentizität der übertragenen Pakete sicherstellen. Weiterhin existiert hier ein Schutz gegen Replay-Angriffe. AH versucht alle möglichen Felder eines IP-Datagramms zu schützen. Es werden lediglich Felder ausgeschlossen, die sich auf dem Weg eines IP-Pakets durch ein IP-Netz durch die Router verändern können."

Wer hat jetzt recht? Das elektronik-kompendium mit der aussage, dass das komplette ip-packet durch eine Prüfsumme geschützt wird oder Wikipedia das sagt, dass, durch NAT-Router veränderbare, Daten von der Prüfsumme ausgenommen werden?

Hoffe das ist jetzt kein doppelthread, hab aber vorher gesucht :D

16.11.05, 16:46

Das ist beides richtig.
Wobei das groeszere Problem die Portnummern (TCP) sind, besonders wenn mehrere Teilnehmer ueber ein NAT Gateway VPN machen wollen.

Abhilfe schafft da mitlerweile das NAT-Traversal (Protokoll) wo die VPN Pakete (ESP) am NAT-Traversal Router nochmal in ein UDP Paket verpackt werden.

Google mal nach "NAT Traversal" und "VPN und NAT".
Dann wirst du fündig

mfg

Anzeige

- Anzeige -

Pyry · 16.11.05, 17:02

Wie meinst du das, dass beide recht haben?
Die Portnummern seien erstmal außen vor...

Heißt das, dass ich es einstellen kann ob das komplette Packet in die Prüfsumme eingebunden wird oder nur ein Teil?

Also ob die IPsec-Verbindung zwischen 2 Routern besteht die direkt mit dem Internet verbunden sind oder zwischen 2 Servern die hinter NAT-Routern stehen und vom NAT auf jeden Fall die Absenderadresse geändert wird?

Aber danke, das NAT_Traversal war mir bisher noch nicht bekannt. Ich werde mir das auf jeden Fall einmal genauer anschauen

16.11.05, 19:14

Normalerweise ist es eben so das das NAT nichts von dem IPSec weiss.
Es aendert dann eben entsprechende Felder und die VPN peers beklagen diese Aenderung weil sie wiederum nichts von dem NAT wissen.
Wenn du lediglich 2 Router ueber VPN tunnelst ist das auch kein Problem. Es entsteht eben dann wenn du mit dem VPN durch den NAT Mechanismus durch willst.

Aendern kannst du da soweit nichts.

Aber mal davon abgesehen muss du zunaechst verstehen wie IP/TCP/UDP arbeiten- auch im Zusammenhang mit NAT. Danach wird dir auch klar sein wie/was/warum das mit dem IPSec so ist, wie es ist

mfg

Anzeige

- Anzeige -

16.11.05, 16:17	#1 (permalink)
Pyry Registriert seit: 16.11.05 Likes: 0	IPsec-Header Anzeige Hallo, ich bin gerade dabei mein IHK-Projekt fertig zu stellen. Thema dabei ist ganz groß VPN. Bin jetzt beim Thema IPsec über eine unstimmigkeit beim Authentication Header (AH) gestolpert :( Das lektronik-kompendium sagt dazu: "AH bildet über das gesamte IP-Datenpaket eine Prüfsumme und fügt sie zwischen dem IP-Header und dem TCP-Header in das zu übertragende Paket ein. Über die Prüfsumme ist beim Empfänger die Vollständigkeit und Korrektheit der Daten und die Identität des Absenders feststellbar. Dieses Verfahren bereitet Probleme im Zusammenhang mit einem NAT-Router. Denn die Absender-Adresse stimmt mit der Adresse im Orginal-Header nicht überein. Der NAT-Router manipuliert die IP-Adressen. Dadurch wird ein solches Datenpaket beim Empfänger als ungültig verworfen." Wikipedia sagt dazu jedoch: "Der Authentication Header (AH) soll die Integrität und Authentizität der übertragenen Pakete sicherstellen. Weiterhin existiert hier ein Schutz gegen Replay-Angriffe. AH versucht alle möglichen Felder eines IP-Datagramms zu schützen. Es werden lediglich Felder ausgeschlossen, die sich auf dem Weg eines IP-Pakets durch ein IP-Netz durch die Router verändern können." Wer hat jetzt recht? Das elektronik-kompendium mit der aussage, dass das komplette ip-packet durch eine Prüfsumme geschützt wird oder Wikipedia das sagt, dass, durch NAT-Router veränderbare, Daten von der Prüfsumme ausgenommen werden? Hoffe das ist jetzt kein doppelthread, hab aber vorher gesucht :D

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
ISO Header ?	Machine	Code Kitchen	16	07.12.07 15:28
DLL+LIB+Header Bluetooth	ink3n	Code Kitchen	0	15.03.05 21:14
IP- Header	Metathron	Network · LAN, WAN, Firewalls	7	01.02.05 12:46
VPN IPsec Software	cpt.jonti	Network · LAN, WAN, Firewalls	3	21.11.03 23:57
BMP Header	ph0x	Code Kitchen	2	09.02.02 17:01

16.11.05, 16:46	#2 (permalink)
Gulliver Guest Likes:	Das ist beides richtig. Wobei das groeszere Problem die Portnummern (TCP) sind, besonders wenn mehrere Teilnehmer ueber ein NAT Gateway VPN machen wollen. Abhilfe schafft da mitlerweile das NAT-Traversal (Protokoll) wo die VPN Pakete (ESP) am NAT-Traversal Router nochmal in ein UDP Paket verpackt werden. Google mal nach "NAT Traversal" und "VPN und NAT". Dann wirst du fündig mfg

16.11.05, 17:02	#3 (permalink)
Pyry Themenstarter Registriert seit: 16.11.05 Likes: 0	Wie meinst du das, dass beide recht haben? Die Portnummern seien erstmal außen vor... Heißt das, dass ich es einstellen kann ob das komplette Packet in die Prüfsumme eingebunden wird oder nur ein Teil? Also ob die IPsec-Verbindung zwischen 2 Routern besteht die direkt mit dem Internet verbunden sind oder zwischen 2 Servern die hinter NAT-Routern stehen und vom NAT auf jeden Fall die Absenderadresse geändert wird? Aber danke, das NAT_Traversal war mir bisher noch nicht bekannt. Ich werde mir das auf jeden Fall einmal genauer anschauen

16.11.05, 19:14	#4 (permalink)
Gulliver Guest Likes:	Normalerweise ist es eben so das das NAT nichts von dem IPSec weiss. Es aendert dann eben entsprechende Felder und die VPN peers beklagen diese Aenderung weil sie wiederum nichts von dem NAT wissen. Wenn du lediglich 2 Router ueber VPN tunnelst ist das auch kein Problem. Es entsteht eben dann wenn du mit dem VPN durch den NAT Mechanismus durch willst. Aendern kannst du da soweit nichts. Aber mal davon abgesehen muss du zunaechst verstehen wie IP/TCP/UDP arbeiten- auch im Zusammenhang mit NAT. Danach wird dir auch klar sein wie/was/warum das mit dem IPSec so ist, wie es ist mfg

[HaBo]

IPsec-Header