IPsec und NAT Traversal

IKE kann IPsec SAs über eine NAT-Box aushandeln. Mit dieser Fähigkeit sind Systeme in der Lage, von einem standortfernen Netzwerk aus auch dann eine sichere Verbindung herzustellen, wenn sich die Systeme hinter einem NAT-Gerät befinden. Beispiele können Mitarbeiter, die von zu Hause aus arbeiten, oder Personen, die sich von einer Konferenz-Site aus anmelden, ihren Datenverkehr mit IPsec schützen.

NAT bedeutet Network Address Translation (Netzwerk-Adresseübersetzung). Eine NAT-Box dient zum Übersetzen einer privaten internen Adresse in eine einmalige Internetadresse. NATs befinden sich häufig an öffentlichen Zugangspunkten zum Internet, z. B. in Hotels. Weitere Informationen finden Sie unter Verwenden der NAT-Funktion in Oracle Solaris IP Filter.

Die Fähigkeit, IKE verwenden zu können, wenn sich eine NAT-Box zwischen kommunizierenden Systemen befindet, wird NAT-Traversal oder NAT-T genannt. In Release Solaris 10 gelten für NAT-T die folgenden Einschränkungen:

• NAT-T arbeitet nur mit IPv4-Netzwerken.

• NAT-T kann die Vorteile der IPsec ESP-Beschleunigung durch das Sun Crypto Accelerator 4000-Board nicht nutzen. Dennoch funktioniert die IKE-Beschleunigung mit dem Sun Crypto Accelerator 4000-Board.

• Das AH-Protokoll beruht auf einem unveränderlichen IP-Header. Aus diesem Grund funktioniert AH nicht mit NAT-T. Mit NAT-T wird das ESP-Protokoll verwendet.

• Die NAT-Box benötigt keine speziellen Verarbeitungsregeln. Eine NAT-Box mit speziellen IPsec-Verarbeitungsregeln zu Problemen mit der Implementierung von NAT-T führen.

• NAT-T arbeitet nur dann, wenn der IKE-Initiator das System hinter der NAT-Box ist. Ein IKE-Antwortgeber kann sich nicht hinter einer NAT-Box befinden, es sei denn, die Box wurde zum Weiterleiten von IKE-Paketen zum entsprechenden individuellen System hinter der Box programmiert.

Die folgenden RFCs beschreiben die NAT-Funktionalität und die Einschränkungen von NAT-T. Diese RFCs können Sie von http://www.rfc-editor.org herunterladen.

• RFC 3022, „Traditional IP Network Address Translator (Traditional NAT),“ Januar 2001

• RFC 3715, „IPsec-Network Address Translation (NAT) Compatibility Requirements,“ März 2004

• RFC 3947, „Negotiation of NAT-Traversal in the IKE,“ Januar 2005

• RFC 3948, „UDP Encapsulation of IPsec Packets,“ Januar 2005

Informationen zum Verwenden von IPsec über ein NAT finden Sie unter Konfiguration von IKE für mobile Systeme (Übersicht der Schritte).