Konfigurieren des transparenten NAT-Modus für IPSec auf dem VPN 3000 Concentrator

Download-Optionen

  • PDF     (250.9 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (98.6 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (124.6 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:14. Januar 2008
Dokument-ID:5753

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

Network Address Translation (NAT) wurde entwickelt, um das Problem zu beheben, dass für Internetprotokoll Version 4 (IPV4) nicht genügend Adressraum vorhanden ist. Heute nutzen Privatanwender und Netzwerke in kleinen Büros NAT als Alternative zum Kauf registrierter Adressen. Unternehmen implementieren NAT allein oder mit einer Firewall, um ihre internen Ressourcen zu schützen.

Many-to-One, die am häufigsten implementierte NAT-Lösung, ordnet einer einzigen routingfähigen (öffentlichen) Adresse mehrere private Adressen zu. Dies wird auch als Port Address Translation (PAT) bezeichnet. Die Verknüpfung wird auf Portebene implementiert. Die PAT-Lösung verursacht ein Problem für IPSec-Datenverkehr, der keine Ports verwendet.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • Cisco VPN 3000 Concentrator

  • Cisco VPN 3000 Client Version 2.1.3 und höher

  • Cisco VPN 3000 Client und Concentrator Version 3.6.1 und höher für NAT-T

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Kapselung der Sicherheits-Payload

Protokoll 50 (Encapsulating Security Payload [ESP]) verarbeitet die verschlüsselten/gekapselten Pakete von IPSec. Die meisten PAT-Geräte arbeiten nicht mit ESP, da sie so programmiert wurden, dass sie nur mit Transmission Control Protocol (TCP), User Datagram Protocol (UDP) und Internet Control Message Protocol (ICMP) funktionieren. Darüber hinaus können PAT-Geräte nicht mehrere Sicherheitsparameterindizes (Security Parameter Indices, SPIs) zuordnen. Der NAT-transparente Modus im VPN 3000-Client löst dieses Problem, indem ESP in UDP gekapselt und an einen ausgehandelten Port gesendet wird. Der Name des Attributs, das auf dem VPN 3000 Concentrator aktiviert werden soll, lautet IPSec über NAT.

Ein neues Protokoll NAT-T, das ein IETF-Standard ist (der sich seit dem Schreiben dieses Artikels noch in der DRAFT-Phase befindet), kapselt auch IPSec-Pakete in UDP, funktioniert aber auf Port 4500. Dieser Port kann nicht konfiguriert werden.

Wie funktioniert der transparente NAT-Modus?

Durch die Aktivierung des transparenten IPSec-Modus im VPN-Konzentrator werden nicht sichtbare Filterregeln erstellt und auf den öffentlichen Filter angewendet. Die konfigurierte Portnummer wird dann transparent an den VPN Client weitergeleitet, wenn dieser eine Verbindung herstellt. Eingehender UDP-Datenverkehr von diesem Port wird zur Verarbeitung direkt an IPSec weitergeleitet. Der Datenverkehr wird entschlüsselt, entkapselt und normal weitergeleitet. Auf der ausgehenden Seite verschlüsselt, kapselt und wendet dann einen UDP-Header an (falls konfiguriert). Die Laufzeitfilterregeln werden deaktiviert und unter drei Bedingungen aus dem entsprechenden Filter gelöscht: wenn IPSec über UDP für eine Gruppe deaktiviert ist, wenn die Gruppe gelöscht wird oder wenn die letzte aktive IPSec über UDP-SA an diesem Port gelöscht wird. Keepalives werden gesendet, um zu verhindern, dass ein NAT-Gerät die Portzuordnung aufgrund von Inaktivität schließt.

Wenn IPSec über NAT-T auf dem VPN Concentrator aktiviert ist, verwendet der VPN Concentrator/VPN Client den NAT-T-Modus der UDP-Kapselung. NAT-T erkennt automatisch alle NAT-Geräte, die sich während der IKE-Aushandlung zwischen dem VPN-Client und dem VPN Concentrator befinden. Sie müssen sicherstellen, dass der UDP-Port 4500 zwischen dem VPN Concentrator/VPN Client nicht blockiert wird, damit NAT-T funktioniert. Wenn Sie eine frühere IPSec/UDP-Konfiguration verwenden, die diesen Port bereits verwendet, müssen Sie diese frühere IPSec/UDP-Konfiguration so konfigurieren, dass ein anderer UDP-Port verwendet wird. Da NAT-T ein IETF-Entwurf ist, ist es bei der Verwendung von Geräten verschiedener Hersteller hilfreich, wenn der andere Anbieter diesen Standard implementiert.

NAT-T funktioniert im Gegensatz zu IPSec über UDP/TCP sowohl mit VPN Client-Verbindungen als auch mit LAN-zu-LAN-Verbindungen. Darüber hinaus unterstützen Cisco IOS®-Router und die PIX-Firewall-Geräte NAT-T.

Sie müssen IPSec über UDP nicht aktivieren, damit NAT-T funktioniert.

Transparenter NAT-Modus konfigurieren

nat_trans1.gif

nat_trans2.gif

Gehen Sie folgendermaßen vor, um den NAT-transparenten Modus auf dem VPN Concentrator zu konfigurieren.

Hinweis: IPSec über UDP wird auf Gruppenbasis konfiguriert, während IPSec über TCP/NAT-T global konfiguriert wird.

  1. Konfiguration von IPSec über UDP:

    1. Wählen Sie im VPN Concentrator Configuration > User Management > Groups aus.

    2. Um eine Gruppe hinzuzufügen, wählen Sie Hinzufügen aus. Um eine vorhandene Gruppe zu ändern, wählen Sie sie aus, und klicken Sie auf Ändern.

    3. Klicken Sie auf die Registerkarte IPSec, aktivieren Sie IPSec über NAT, und konfigurieren Sie IPSec über den NAT UDP-Port. Der Standardport für IPSec über NAT ist 10000 (Quelle und Ziel). Diese Einstellung kann jedoch geändert werden.

  2. Konfigurieren von IPSec über NAT-T und/oder IPSec über TCP:

    1. Wählen Sie im VPN Concentrator Configuration > System > Tunneling Protocols > IPSec > NAT Transparency aus (Konfiguration > System > Tunneling-Protokolle > IPSec > NAT-Transparenz).

    2. Aktivieren Sie das Kontrollkästchen IPSec über NAT-T und/oder TCP.

Wenn alle Funktionen aktiviert sind, verwenden Sie diese Rangfolge:

  1. IPSec über TCP.

  2. IPSec über NAT-T.

  3. IPSec über UDP.

Konfiguration des Cisco VPN-Clients für NAT-Transparenz

Um IPSec über UDP oder NAT-T zu verwenden, müssen Sie IPSec über UDP auf dem Cisco VPN Client 3.6 und höher aktivieren. Der UDP-Port wird vom VPN Concentrator bei IPSec über UDP zugewiesen, während er für NAT-T fest mit dem UDP-Port 4500 verbunden ist.

Um IPSec über TCP zu verwenden, müssen Sie es auf dem VPN Client aktivieren und den Port konfigurieren, der manuell verwendet werden soll.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
22-Oct-2001
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren