Suchen

Definition Was ist IPsec-Passthrough?

IPsec-Passthrough ist ein Verfahren, um IPsec-Verbindungen über NAT-Grenzen hinweg aufzubauen. Die beteiligten NAT-Router reichen in diesem Verfahren bestimmte IPsec-Pakete (Internet Protocol Security Pakete) einfach durch. IPsec-Passthrough ist in NAT-Routern teilweise unterschiedlich implementiert, in der Regel darf sich hinter dem NAT-Router aber immer nur ein IPsec-Client befinden.

Firma zum Thema

Die wichtigsten IT-Fachbegriffe verständlich erklärt.
Die wichtigsten IT-Fachbegriffe verständlich erklärt.
(Bild: © aga7ta - stock.adobe.com )

Das Verfahren IPsec-Passthrough wurde entwickelt, um Probleme im Zusammenhang mit IPsec-Verbindungen und Network Address Translation (NAT) zu beseitigen. Kommt NAT auf einer IP-Verbindung zum Einsatz, funktioniert IPsec ohne besondere Maßnahmen nicht. Neben IPsec-Passthrough existiert mit NAT-Traversal (NAT-T) eine alternative Lösung für das NAT-Problem.

Die Implementierung von IPsec-Passthrough in den NAT-Routern kann sehr unterschiedlich sein. In der Regel funktioniert die Methode nur mit einem einzigen IPsec-Client hinter dem NAT-Router. Für mehrere Clients muss NAT-Traversal eingesetzt werden. Typische Anwendungen für IPsec-Passthrough sind virtuelle private Netze (VPNs), die per Internet Protocol Security über das Internet aufgebaut werden.

Um die NAT-Beschränkungen zu umgehen, reicht ein Router mit IPsec-Passthrough bestimmte Pakete wie bspw. die ESP-Pakete (Encapsulating Security Payload Pakete) einfach durch und verändert die Ports des IKE-Protokolls (Internet Key Exchange Protocol) nicht. Da das Verfahren das aktive Eingreifen der beteiligten NAT-Router erfordert, kommt es inzwischen relativ selten zum Einsatz. Gebräuchlicher ist die IPSec-Erweiterung NAT-Traversal, die auf IPsec-Ebene arbeitet und keine besonderen Maßnahmen der NAT-Router erfordert.

Grundsätzliches zur Network Address Translation und warum Verfahren wie IPsec-Passthrough notwendig sind

Aufgrund der Knappheit noch verfügbarer IPv4-Adressen, hat sich Network Address Translation im Internet etabliert. Besonders die NAT-Variante mit der Bezeichnung Port Address Translation (PAT) kommt bei fast allen privaten Internetzugängen zum Einsatz.

PAT ermöglicht die Kommunikation ganzer Netzwerke mit vielen verschiedenen Endgeräten über eine einzige öffentliche IP-Adresse. Das PAT-Verfahren übersetzt die privaten IP-Adressen der Endgeräte auf eine öffentliche IP-Adresse mit verschiedenen Portnummern. Die Zuordnung der eingehenden und ausgehenden IP-Pakete nimmt der Router über seine NAT-Tabellen mit passender Kombination aus Port und interner IP-Adresse vor.

Zwar „löst“ NAT das Problem der IP-Adressknappheit, doch wird dabei das Grundprinzip der Ende-zu-Ende-Verbindungen in IP-Netzwerken verletzt. Router auf dem Verbindungsweg manipulieren die Quell- und Ziel-IP-Adressen sowie die UDP- und TCP-Ports. Einige Protokolle wie IPsec (Internet Protocol Security) haben mit dieser Art von Manipulation Probleme und funktionieren nur, wenn Verfahren zu Überwindung der NAT-Grenzen zum Einsatz kommen.

Mit IPsec geschützte VPN-Verbindungen nutzen starke Verschlüsselungs- und Authentifizierungsverfahren, die teilweise in Konflikt mit NAT stehen. So haben NAT-Router beispielsweise keinen Zugriff auf verschlüsselte TCP- oder UDP-Header und könne IP-Adressen oder Ports nicht übersetzen.

Die Internet Protocol Security verschlüsselt und enkapsuliert die Original-TCP/UDP-Portnummern in ESP. ESP bietet von außen betrachtet keine unverschlüsselten Portinformationen, auf die ein NAT-Router Zugriff hätte. Da der NAT-Router aber keine Portinformationen hat, kann er kein NAT durchführen. Ein Verbindungsaufbau per ESP ist unmöglich.

Noch gravierender sind die Probleme mit dem AH-Protokoll (Authentication Header) von IPsec. AH benötigt einen unveränderten IP-Header und macht NAT ebenfalls unmöglich, da ein Hashwert über das Datenpaket und alle Felder des Headers gebildet wird. Durch NAT und das Austauschen der IP-Adressen verändern sich die AH-Hashwerte. Stimmen die Hashwerte nicht mehr überein, verwirft der Empfänger die Pakete und die Verbindung kommt nicht zustande. IPsec-Passthrough kann einige Probleme mit IPsec und NAT beheben.

Die grundlegende Funktionsweise von IPsec-Passthrough

Wie IPsec-Passthrough in einem Router implementiert ist und welche Funktionen unterstützt werden, variiert von Hersteller zu Hersteller. Die meisten Implementierungen erlauben nur einem einzigen Client hinter dem NAT-Router eine IPsec-Verbindung. Es existieren allerdings einige Lösungen, die mehrere Client-Verbindungen erlauben. Sie müssen jedoch auf verschiedenen VPN-Servern terminieren.

Das IPsec-Passthrough-Verfahren verändert die Port-Zuordnung des IKE- und ESP-Protokolls nicht. Es schreibt die IP-Adresse in den ESP-Paketen für den Client um. Dadurch können die Pakete die NAT-Grenzen überwinden. Allerdings nur für jeweils einen einzigen Client, da bei mehreren Clients keine Zuordnung der Pakete möglich ist.

Gegenüberstellung und Abgrenzung der Verfahren IPsec-Passthrough und IPsec mit NAT-Traversal (NAT-T)

Neben IPsec-Passthrough existiert für die Überwindung von NAT-Grenzen das wesentlich häufiger verwendete Verfahren NAT-Traversal. NAT-Traversal funktioniert mit mehreren Clients hinter dem NAT-Router und erfordert keine besonderen Maßnahmen auf den NAT-Routern. Das Verfahren arbeitet auf Protokollebene der Internet Protocol Security und ist in den RFCs 3947 und 3948 näher beschrieben.

Beim Verbindungsaufbau prüft NAT-Traversal, ob NAT zum Einsatz kommt und ob die Endpunkte NAT-T unterstützen. Ist dies der Fall, verpackt es die ESP-Pakete in UDP-Pakete mit dem Port 4500. Diese für den NAT-Router lesbaren Portnummern kann der Router zusammen mit den IP-Adressen ganz normal übersetzen und umschreiben. Für den Router sieht der ESP-Datenverkehr wie normaler UDP-Verkehr aus. Die Zuordnungstabellen über eingehende und ausgehende NAT-Verbindungen lassen sich im Router erstellen und nutzen. Die VPN-Endpunkte (VPN-Client und VPN-Gateway) müssen NAT-T unterstützen. Tun sie das, lässt sich die Verbindung mit Internet Protocol Security über die NAT-Grenzen hinweg aushandeln und aufbauen.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46495258)

Über den Autor