VPN IPSec

Så vidt jeg ved behøves det vist ikke... da routeren selv åbner for de porte den har brug for...

du skal åbne for port 500 samt ip proto 50 og 51. Jeg vil anbefale at du kun åbner for en specefik IP adresse po port 500 (hvis du kan nøjes med en)

Du mener at der skal være en source/destination adresse en regel. er det nødvendigt at forwarde porten. SUA/NAT

I hvert fall noe info:
http://www.cisco.com/warp/public/cc/so/cuso/epso/sqfr/safev_wp.htm

Hva slags "devices" er det som setter opp tunellen ? To enheter inne på lan ? Hva slags enheter er dette ?

Noen flere forklaringer av prinsipper:
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html

Det store spørsmål er vel egentlig: Hvilke to enheter er det som skal sette opp VPN tunnellen ? Hvis det dreier seg om to enheter inne på lan, så skulle svaret være omtrent som følger:

"The firewall just has to allow IKE (UDP 500) and IPSec ESP formatted packets (IP protocol = 50)."

http://support.microsoft.com/default.aspx?scid=kb;EN-US;q233256

Uten å vite det, så ville jeg tro at det første svaret fra hartnet.dk også kunne være riktig avhengig av fra hvilken side vpn tunellen etableres. Dersom man konfigurerer symetrisk i begge ender, så skulle man være på den siktre side. Uten å vite det så ville jeg anta at den side man logger på fra (klientsiden, hvis jeg har forstått det rett) ikke behøver noen forwardinger, mens "serversiden" skulle behøve det. Som sagt, konfigurerer man symetrisk, likt i begge nat router ender, så skulle man være på den sikre side og forbindelsen skulle også kunne initieres fra begge ender.

Dersom det eventuelt ikke er snakk om å etablere en tunnel mellom enheter på LAN men der i mot fra gateway til gateway, så blir jo problemstillingen en litt annen. Portene og protokollene skulle vel bli de samme, men det vil jo da ikke være snakk om noen port forwarding.

Antakelsen om at det vil være rett/praktisk å betrakte dette, rent komunikasjonsmessig (og firewallmessig) som en client/server funksjon, ser ut til å være rett: http://www.forsitesolutions.com/Techstuff/freeswan/ipsec_overview.html

Hvis det dreier seg om en vpn tunnel mellom enheter inne på lan så må man forwarde, minimum inn til serversiden, eventuelt symetrisk begge veier.

Ellers, en av de bedre "oversikter" jeg har funnet:
http://www.hive.no/www-sa/fag/inf/2004-2005/net104/net103-w2003videre_6.htm

"Jeg vil kører fjernesupport igen tunnel."

Da blir jo spørsmålet: Fjernsupport i forhold til hva da ?

Befinner den enheten som skal motta denne fjernsupport seg inne bak Zywall 10, da blir det jo å forwarde porter.

Forholder det seg der i mot slik at den enhet som skal motta fjernsupport befinner seg i den annen ende og kun en klient i enden bak, Zyval 10, da blir jo svaret til hartnet.dk rett, forutsatt at man ikke kjører filtrering av utgående trafikk. (De fleste firewalls er som default ikke satt opp med dette.)

Hvis det kun er en klient man har inne bak Zywall 10, (slik at man skal utføre og ikke motta noen support), så skal man vel ikke forwarde noen porter.

Ser at Zywall 10 faktisk har muligheten til å kjøre vpn client/server også, ikke bare bypasse til andre enheter som sørger for selve vpn tunellen. Det ser ut som om Zywall kan kjøre dette selv også.

Det første og initielle spørsmål kan forstås på minst 3 forskjellige måter, som hver for seg vil gi en helt forskjellig firewall problematikk:

1. Jeg skal kjøre en VPN server inne på mitt nettverk. (Kun i dette tilfellet vil det være aktuelt å forwarde porter.)
2. Jeg skal kjøre en VPN klient inne på mitt nettverk. Da skulle eventuelt svaret fra hartnet.dk fungere.
3. Jeg skal forbinde to nettverk med hverandre ved hjelp av VPN klient server funksjon på Zyxel gateway. (I så fall dreier det seg ikke om kun å åpne porter.)

Mener at innleggene over inneholder nødvendig info, og at det egentlig bare er nødvendig å eventuelt gi en litt mer utdypende forklaring av hvordan tingene skal fungere i praksis. (Slik at man eventuel kan konfigurere firewall i forhold til problemstilling 1, 2 eller 3 nevnt over.)

http://www.zyxel.dk/FAQ.48+B6JnR4X3p5eGVsZmFxX3BpMVtzaG93VWlkXT0zNyZ0eF96eXhlbGZhcV9waTFbbGlzdE1vZGVdPWl0ZW0mY0hhc2g9YjdkMzU1MzgzZA__.0.html

http://www.zyxel.dk/FAQ.48+B6JnR4X3p5eGVsZmFxX3BpMVtzaG93VWlkXT0zMiZ0eF96eXhlbGZhcV9waTFbbGlzdE1vZGVdPWl0ZW0mY0hhc2g9NWJhZDk1MjRkYQ__.0.html

http://www.zyxel.dk/FAQ.29.0.html