Microsoft VPN client и BM 3.8

[Елена Лезгина]

Добрый день!

Встала задача пропустить через наш firewall - BM3.8 - трафик MS VPN клиента по протоколу PPTP. C внутренней рабочей станции это не работает даже при снятых фильтрах, работает только, если рабочую станцию выставить в демилит. зону, ЗА NAT, что не есть хорошо.
Удаленный клиент использовать другой VPN клиент отказывается, а мы не можем настаивать в силу ряда причин. Нашла ТИД 10014833, в котором говорится, что NAT не пропускает PPTP:
"The MS VPN client embeds IP addresses in the upper layer fields in order to setup the tunnel.
NAT will not look this far into the packet to translate the information. It uses a GRE (generic routing encapsulation) to achieve this and NAT does not support GRE."

Альтернатива в MS VPN клиенте - использовать L2TP (IPSec) протокол. Будет ли BM пропускать трафик в случае использования IPSec? Как правильно настроить фильтры в этом случае?

[Павел Гарбар]

IPSec в режиме ESP по идее должен пускать.

[Елена Лезгина]

IPSec в режиме ESP по идее должен пускать.

К сожалению, не знаю, что такое ESP. В настройках MS VPN клиента стоит выбор из 2-х возможных протоколов - PPTP и L2TP (IPSec).

[Павел Гарбар]

У него есть две функции - подписывать пакеты (AH - authentication header) и шифровать содержимое (ESP - Encapsulating Security Payload). Вместе их применять нельзя, так как шифрование меняет содержимое пакета и подпись уже не валидна.
Новелл вроде еще в районе ВМ 3.7 говорил, что их VPN совместим с другими вендорами по IPSec.
Так что виндовый туннель IPSec по идее должен пройти.

[Dimerson]

IPSEC Client (без новелловских добавок к клиенту в виде NMAS) использует ESP и еще UDP для IKE.

Бывает вариант IKE для работы через нат называется NAT Travesal.

Если MS Клиент это умеет то он пролезет через нат .

самый хитропросачивающийся vpn клиент который я видел это был клиент от Checkpoint - в оригинале это ESP+IKE но умел так же через HTTP прокси если разрешен CONNECT на 443 порт ;o)

[Boris Morozov]

VPN правда через него не тестили за ненадобностью. Пока пробовали для поддержки юзеров в сельской местности и малых городках.

[Елена Лезгина]

VPN правда через него не тестили за ненадобностью. Пока пробовали для поддержки юзеров в сельской местности и малых городках.

Коллеги, мне не надо других VPN клиентов. Сами вообще всегда используем OpenVPN. Но один упрямый партнер не желает применять ничего, кроме MS Vpn клиента, а давить на него мы не можем. Поэтому и спрашиваю кокретно про БЫ Vpn клиента по протоколу L2TP (IPSec), т.к. по PPTP точно он не проходит через бордер

[Dimerson]

http://support.microsoft.com/kb/325034

[Елена Лезгина]

http://support.microsoft.com/kb/325034

Спасибо за ссылку. Там сказано про VPN клиента и VPN сервер, что должно быть для NAT Traversal. А через BM это пройдет? А то, как любят высказываться приверженцы MS, "опять ваша Netware не работает"

[Елена Лезгина]

Сейчас прочитала на саппорте, что в bm3.8.4 Nat traversal должен поддерживаться, у нас этот патч стоит