Nokia N95 VPN Zugriff?

Hallo Leidensgenosse [;)]

Genau das hatte ich auch vor, mit dem Nokia IPSec VPN Client, dem N95 (8GB) und einer Astaro Firewall (Version 6), habe mich stundenlang damit beschäftigt und hatte auch entsprechend übereinstimmende Policies definiert. Er kommt ja auch über die Phase 1 hinaus, aber:

Mit Cisco und Checkpoint Firewalls funktioniert der Nokia VPN Client, aber bei Astaro bzw. allgemein bei Open/FreeSwan (Astaro verwendet dies wohl) gibt es das Problem, dass sich der Nokia VPN Client und Open/FreeSwan einfach nicht auf NAT-Traversal einigen können, ansonsten würde es meiner Meinung nach genauso funktionieren.

Das Problem stellt dabei wohl die RFC-3947 Implementierung dar, die entweder seitens Nokia oder seitens Open/FreeSwan nicht ganz RFC-komform umgesetzt wurde (werde hierzu demnächst auch noch den NCP IPSec VPN Client als Alternative auf dem N95 mit der Astaro testen).

Vom Nokia VPN Client kommt der Vorschlag mit den NAT-Traversal Methoden:

> packet from 77.25.95.61:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] method set to=108
> packet from 77.25.95.61:500: received Vendor ID payload [RFC 3947] method set to=109

Die Firewall kommt aber nur zu dem Schluß, dass kein NAT erkannt wurde:

> NAT-Traversal: Result using 3: no NAT detected

Es gibt scheinbar einen Hack, um dieses Dilema zu umgehen, indem man die vendor.h (eines der Header-Files des pluto Programmes von Open/FreeSwan, das auch bei Astaro eingesetzt wird) minimal modifiziert -> nämlich dahingehend, dass die Reihenfolge der Vendor ID Werte für NAT-T umgestellt wird und somit die IETF_03 NAT-Traversal Methode präferiert werden soll, mit dem die Einigung auf NAT-T auch funktionieren soll.

Ich habe mir die Mühe gemacht, das GPL-ASL-6.300 Iso vom Astaro FTP herunterzuladen, zu mounten und die dort verwendete vendor.h (aus dem Source-RPM chroot-ipsec-6.1-67.src.rpm, programs/pluto/vendor.h) anzuschauen.

Hier der NAT-Traversal Block aus dieser Datei:

  /* 101 - 200 : NAT-Traversal */
  VID_NATT_STENBERG_01       =101,
  VID_NATT_STENBERG_02       =102,
  VID_NATT_HUTTUNEN          =103,
  VID_NATT_HUTTUNEN_ESPINUDP =104,
  VID_NATT_IETF_00           =105,
  VID_NATT_IETF_02_N         =106,
  VID_NATT_IETF_02           =107,
  VID_NATT_IETF_03           =108,
  VID_NATT_RFC               =109,
  VID_NATT_DRAFT_IETF_IPSEC_NAT_T_IKE   =110,

Ziel ist es eine Einigung des Nokia VPN Clients mit dem Open/FreeSwan Server nach IETF_03 zu erzielen, dazu sollte es genügen die Reihenfolge zu ändern, dass die IETF_03 NAT-T Methode die dort höchste Zahl bekommt, z.B. so:

  /* 101 - 200 : NAT-Traversal */
  VID_NATT_STENBERG_01       =101,
  VID_NATT_STENBERG_02       =102,
  VID_NATT_HUTTUNEN          =103,
  VID_NATT_HUTTUNEN_ESPINUDP =104,
  VID_NATT_IETF_00           =105,
  VID_NATT_IETF_02_N         =106,
  VID_NATT_IETF_02           =107,
  VID_NATT_RFC               =108,
  VID_NATT_DRAFT_IETF_IPSEC_NAT_T_IKE   =109,
  VID_NATT_IETF_03           =110,

-> dann pluto neu kompilieren und testen, das sollte funktionieren, jedenfalls haben das andere User so mit Open/FreeSwan Servern "gepatcht", ich werde das selbst die nächsten Tage auch noch verifizieren...

Nur will man ja eigentlich nicht an einem Astaro System solche Änderungen vornehmen, da man ja gar nicht weiss, welche Änderungen seitens Astaro in dieses Programm eingeflossen sind, letztendlich bleibt uns also nur die Möglichkeit auf Hilfe von Astaro zu hoffen, eine andere Firewall einzusetzen oder einen dedizierten Open/FreeSwan Server aufzusetzen, den man selbst "patcht".

Gruss

Thomas

hmm... vielleicht liegts auch an der alten 2.4er OpenSwan Version und mit neueren Versionen gehts

Tests folgen

Erstmal danke für eure Antworten. Da bin ich ja beruhigt das ich nicht allein bin mit dem Problem.
Ich hoffe es findet sich da noch eine Lösung denn nicht jeder hat ein IPhone! [;)]