am Fri, dem 25.06.2004, um 18:43:51 +0200 mailte Martin Pitt folgendes:
Hmm, dann werd ich wohl ein bisschen probieren müssen. Im Prinzip müsste es doch ausreichen, den Peer nicht anhand der IP, sondern anhand eines anderen Merkmals (ein Passwort oder ein Zertifikat) zu erkennen, oder?
Das ist nicht wirklich das Problem. Das Problem ist eher, daß IPSec, wenn man es mit AH (Authentication Header, Protokoll 51) betreibt, die Authentizität der Header geprüft wird. Ein NAT macht diese aber kaputt bzw. manipuliert diese. Damit wird das per se als ungültig angesehen, bis zu einer Prüfung der Authentizität kommt es gar nicht erst. Du mußt also auf alle Fälle _ohne_ AH arbeiten. Ich betreibe einige FreeSwan-Strecken, allerdings noch die 1.9x - Version. Dort nutze ich AH. Die neueren FreeSwan/OpenSwan sind IMHO per default ohne AH, was aber noch nicht heißt, das es hinter NAT funktioniert.
Wenn Du es wirklich hinter NAT betreiben willst, solltest Du Dir Alternativen wie tinc, OpenVPN oder so ansehen, weiß allerdings jetzt nicht aus dem Steggreif, welche NAT-fest sind.
Du könntest Dich auch mal auf der Homepage von Spenneberg umschauen.
Andreas