Dieses Dokument beschreibt das Setup, mit dem ein lokales Netzwerk, das NAT anwendet, so verbunden werden kann, dass eine IP-Adresse, die vom ISP an ein entferntes Netzwerk geliefert wird, welches Novell BorderManager Enterprise Server für die VPN-Konnektivität verwendet, gemeinsam genutzt wird.
Gemäß der README.TXT Datei, die auf der Installationsdiskette des Novell BorderManager VPN-Client mitgeliefert wird,
“Können Sie NAT auf dem Pfad zwischen einem VPN-Client und einem VPN-Server nicht anwenden. Dies ist der Fall, da, wenn die IP und IPX-Pakete am VPN-Client gekapselt und verschlüsselt sind, die IP-Ursprungsadresse, die für die Kapselung genutzt wird, die Adresse des VPN-Client ist. Die Kalkulation für den Autorisierungs-Header von IPSEC basiert auf dieser Adresse und der Adresse des Ziel-VPN-Servers. Daher schlägt die Kalkulation, wenn eine der Adressen (VPN-Client oder VPN-Server) durch NAT modifiziert wird, bei Ankunft am Ziel-VPN-Server fehl, und das Paket wird nicht berücksichtigt. Es ist jedoch sehr wahrscheinlich, dass NAT die IPSEC-Pakete verwirft, da NAT nur TCP-, UDP- und Internet Control Message Protocol (ICMP)-Pakete bearbeitet.
Wenn Sie über Arbeitsstationen innerhalb eines Intranets verfügen, die auf sichere Weise, gschützt durch einen VPN-Server mit anderen Netzwerken über das Internet kommunizieren müssen, schlagen wir Ihnen vor, die Site-to-Site VPN-Funktion der Novell Border Manager Enterprise-Edition zu verwenden (anstelle der Client-to-Site VPN).”
Der Novell Border Manager Enterprise-Server ist jedoch sehr teuer für Privatnutzer. Hinzu kommt, dass ein erweitertes Setup der statischen Routes des entfernten Netzwerks, auf das zugegriffen wird, nötig ist. Die oben genannte Lösung von Novell ist daher nicht geeignet, wenn man sein lokales Netzwerk, das NAT verwendet, mit dem Novell Border Manager VPN mit einem entfernten Netzwerk verbinden will.
Interessanterweise ist es möglich, das lokale Netzwerk, das NAT verwendet, mit einem entfernten Netzwerk, welches WinRoute Pro und den Novell Border Manager VPN-Client verwendet, zu verbinden. Diese Konfiguration erlaubt es jedem Computer auf dem lokalen Netzwerk, auf die Ressourcen des entfernten Netzwerks zuzugreifen, wenn der VPN-Tunnel auf dem Router-Computer eingerichtet wurde. Es ist keine Konfiguration des entfernten Netzwerks erforderlich.
Nachfolgend sind die für die Konfiguration des lokalen Netzwerks nötigen Schritte aufgeführt.
Schritt 1: Installieren und konfigurieren Sie die Novell Border Manger Client-Sortware auf dem Computer, der als Router verwendet werden soll. Vergewissern Sie sich, dass die Verbindung zwischen dem entfernten Netzwerk erfolgreich eingerichtet ist und auf die Ressourcen des entfernten Netzwerks zugegriffen werden kann.
Schritt 2: Installieren Sie WinRoute Pro auf dem Router-Computer. Gehen Sie entsprechend der im Handbuch für den Administrator enthaltenen Anweisungen bezüglich der Konfiguration von WinRoute Pro und den Computern des lokalen Neztwerks, die mit WinRoute Pro arbeiten sollen, vor. Verwenden Sie die für die gemeinsame Nutzung einer einzelnen IP-Adresse übliche Konfiguration. Vergewissern Sie sich, dass auf die Ressourcen des Internets von jedem Computer des lokalen Netzwerks aus zugegriffen werden kann.
Schritt 3: Wenn Sie auf die Ressourcen des entfernten Netzwerks zugreifen müssen, führen Sie den Novell Border Manager VPN-Client am Router-Computer aus und melden Sie sich am entfernten Netzwerk an.
Dies wird durch die Architektur von WinRoute Pro möglich. Da es auf IPSEC-Niveau arbeitet, findet die Adress-Übersetzung statt, bevor die Pakete zum virtuellen Netzwerkadapter geroutet werden. Daher haben die an den VPN-Server gesendeten Pakete die tatsächliche IP-Ursprungsadresse. Auf dem Rückweg durchlaufen die vom virtuellen Netzwerkadapter erhaltenen Pakete die Schicht der Adressübersetzung und werden an den richtigen Computer des lokalen Netzwerks geroutet.
Die Einschränkungen dieses Setups liegen darin, dass die VPN-Anmeldung manuell am Router-Computer vorgenommen werden muss, und dass die VPN-Verbindung gemäß der Einstellung am VPN-Server beendet wird, wenn sie eine gewisse Zeit inaktiv war. Auch IPX-Pakete werden nicht geroutet, selbst wenn am VPN-Computer ein IPX-Protokoll aktiviert ist. Daher wird ein IPX-Tunneling nur am Router-Computer möglich sein.
Insgesamt bietet dieses Setup einen kosteneffizienten und geeigneten Weg, ein lokales Netzwerk, das NAT verwendet, mit einem entfernten Netzwerk zu verbinden, das Novell Border Manager VPN benutzt.