NAT Traversal, die Lösung aller VPN-Probleme?
Auf dem diesjährigen Linuxtag wurde über NAT Traversal referriert. Dies bietet die Möglichkeit, VPN-Endpunkte hinter einem NAT-Device (Firewall, Router, etc.) zu betreiben. Dies war bisher mit einer normalen IPSec-Implementierung nicht möglich.
Grössere Firmen, welche VPN-Applikationen erstellen, verwenden hier schon seit geraumer Zeit eine UDP Encapsulation für ihre VPN-Client-Applikationen, welche jedoch nicht konform zum Standard-Entwurf sind. Nun wurde eine Erweiterung des bisherigen IKE-Protokolls erstellt, mit welcher es möglich ist, nicht nur Clients hinter dem NAT-Device zu betreiben, sondern diese Situation auch automatisch zu erkennen. Hierzu wird zunächst ausgetauscht, ob beide Endpunkte NAT Traversal in der gleichen Version unterstützen. Ist dies der Fall, werden Hashes über die eigenen IP-Adressen und Ports ausgetauscht, um zu erkennen, ob ein NAT zwischen den beiden Geräten liegt. Hierdurch wird erreicht, daß NAT Traversal bzw. UDP Encapsulation nur dann eingesetzt wird, wenn es wirklich gebraucht wird.
Seit geraumer Zeit existiert für FreeSWAN (IPSec-Implementierung für Linux) ein Patch. Hier können Interessierte die NAT Traversal-Funktionalität im Selbstversuch testen. Auch einige kommerzielle Clients unterstützen die NAT Traversal-Funktionalität (DRAFT konform).
