Suchen

Definition Was ist NAT-Traversal (NAT-T)?

IPsec mit NAT-Traversal NAT-T) ist ein Verfahren, um IPsec-Verbindungen über Router mit Network Address Translation hinweg aufzubauen. Die Methode ist in der Lage, zu erkennen, ob NAT auf der Verbindung zum Einsatz kommt und NAT-Traversal von den Endpunkten unterstützt wird. Ist dies der Fall, werden bestimmte Nachrichten in UDP-Pakete mit UDP-Port verpackt.

Firma zum Thema

Die wichtigsten IT-Fachbegriffe verständlich erklärt.
Die wichtigsten IT-Fachbegriffe verständlich erklärt.
(Bild: © aga7ta - stock.adobe.com)

IPsec mit NAT-Traversal, oft nur als NAT-Traversal oder NAT-T bezeichnet, ist ein Verfahren, das Probleme mit IPsec und Network Address Translation (NAT) behebt. Es kommt beispielsweise zum Einsatz, um mit IPsec geschützte VPNs (virtuelle private Netze) über NAT-Grenzen hinweg aufzubauen. Die wesentlichen Merkmale und die Funktionsweise von NAT-T sind in den beiden RFCs 3947 (Negotiation of NAT-Traversal in the IKE) und 3948 (UDP Encapsulation of IPsec Packets) aus dem Jahr 2005 beschrieben.

Das Verfahren ist in der Lage, zu erkennen, ob NAT auf dem Verbindungspfad verwendet wird und ob die beteiligten Endpunkte NAT-Traversal unterstützen. Ist dies der Fall, verpackt NAT-Traversal den ESP-Verkehr (Encapsulating Security Payload) in UDP-Pakete und versieht diese mit einem UDP-Port, der per NAT übersetzbar ist. In der Regel kommt hierfür der Port 4500 zum Einsatz. Kontrollieren Firewalls die IPsec-Verbindungen mit NAT-Traversal, muss der Port 4500 freigeschaltet sein.

Eine Alternative Methode zu IPsec mit NAT-Traversal ist IPsec-Passthrough. Diese Methode funktioniert aber nur unter recht eingeschränkten Bedingungen. Im Gegensatz zu NAT-T muss die Passthrough-Methode in den NAT-Routern implementiert sein.

Grundsätzliches zur Network Address Translation und warum IPsec mit NAT-Traversal notwendig ist

Aufgrund der Knappheit von IPv4-Adressen hat sich Network Address Translation in vielen Bereichen etabliert. Besonders die NAT-Variante mit der Bezeichnung Port Address Translation (PAT) kommt sehr oft beispielsweise bei fast allen privaten Internetzugängen zum Einsatz.

PAT erlaubt die Kommunikation ganzer Netzwerke mit vielen verschiedenen Endgeräten über eine einzige öffentliche IP-Adresse, indem es die privaten IP-Adressen der Endgeräte auf die eine öffentliche IP-Adresse und verschiedene neue Portnummern übersetzt. Die Zuordnung der eingehenden und ausgehenden IP-Pakete nimmt der Router über NAT-Tabellen mit der passenden Kombination aus Port und interner IP-Adresse vor.

Zwar „löst“ NAT das Problem der IP-Adressknappheit, doch wird damit das Grundprinzip der Ende-zu-Ende-Verbindungen eines IP-Netzes verletzt. Router auf dem Verbindungsweg manipulieren die Quell- und Ziel-IP-Adressen sowie die UDP/TCP-Ziel- und UDP/TCP-Absender-Ports. Bestimmte Protokolle wie IPsec haben mit dieser Art von Manipulation Probleme und funktionieren nur, wenn bestimmte Verfahren zu Überwindung der NAT-Grenzen verwendet werden.

Mit IPsec geschützte VPN-Verbindungen nutzen starke Verschlüsselungs- und Authentifizierungsverfahren, die teilweise in Konflikt mit NAT stehen. So haben NAT-Router beispielsweise keinen Zugriff auf die verschlüsselten TCP- oder UDP-Header und können IP-Adressen oder Ports nicht mehr übersetzen.

IPsec verschlüsselt und enkapsuliert mit Hilfe von ESP die Original TCP/UDP-Portnummern. ESP bietet von außen betrachtet keine unverschlüsselten Portinformationen mehr, auf die ein NAT-Router Zugriff hätte. Da der NAT-Router keine Portinformation mehr hat, kann er keine Network Address Translation mehr durchführen. Ein Verbindungsaufbau per ESP ist unmöglich. Noch gravierender sind die Probleme mit dem AH-Protokoll (Authentication Header) von IPsec. AH benötigt einen unveränderten IP-Header und macht NAT ebenfalls unmöglich, da ein Hashwert über das Datenpaket und alle Felder des Headers gebildet wird. Durch NAT und das Austauschen der IP-Adressen verändern sich die AH-Hashwerte. Stimmen die Hashwerte nicht mehr überein, verwirft der Empfänger die Pakete und die Verbindung kommt nicht zustande. NAT-Traversal kann die Probleme mit IPsec und ESP beseitigen. Für AH ergibt NAT-T jedoch keinen Sinn.

Die grundlegende Funktionsweise von IPsec mit NAT-Traversal

NAT-Traversal ermöglicht einen IPsec-Verbindungsaufbau mit IKE (Internet Key Exchange) und ESP trotz Beteiligung von NAT-Routern. IPsec mit NAT-Traversal arbeitet in zwei Schritten. Zunächst stellt NAT-Traversal fest, ob die Endpunkte der Verbindung NAT-Traversal unterstützen. Im nächsten Schritt findet NAT-Discovery statt. Mit Hilfe von NAT-Discovery lässt sich zweifelsfrei feststellen, ob NAT auf der Verbindung genutzt wird. Kommt Network Address Translation auf der Verbindung zum Einsatz, enkapsuliert NAT-T die ESP-Daten in unverschlüsseltem UDP. Hierfür fügt IPsec mit NAT-Traversal zwischen dem IP-Header und dem ESP-Header einen zusätzlichen UDP-Header ein. Als Quell- und Ziel-Ports sind im UDP-Header die Ports 4500 eingetragen. Mit dem unverschlüsselten UDP, den IP-Adressen und den UDP-Ports können die NAT-Router arbeiten. Die Übersetzung von IP-Adressen und Ports kann stattfinden und Zuordnungstabellen über eingehende und ausgehende NAT-Verbindungen lassen sich im Router erstellen und pflegen. Als Ergebnis lässt sich die IPsec-Verbindung über die NAT-Grenzen hinweg aushandeln und aufbauen.

(ID:46495334)

Über den Autor