Ситуация следующая: есть много удаленных пользователей которые подключаются с помощью различных операторов, через которых часть не может нормально работать без функции NAT-T.Есть несколько удаленных офисов это: FreeS/WAN, Windows 2000 2003 VPN короче на что горазды региональные админы... я вообщем не против...
И есть Cisco PIX Firewall Version 6.3(3)
если включаю isakmp nat-traversal, то отваливается FreeS/WAN
если выключаю no isakmp nat-traversal, то отваливаеться часть удаленных пользователей.можно ли гибко задавать с кем делать NAT-T, а с кем нет? (очень неохота
дружить по NAT-T региональные точки)люди дайте мыслю
ну так выясните, по какой причине они отваливаются...
>ну так выясните, по какой причине они отваливаются...По какой причине отваливаються удаленные пользователи понятно, все связано
со спецификой работы VPN через NAT. выход для них я вижу покрайней мере один, это NAT-T.Что касаеться удаленных офисов, не хочу я использовать между ними NAT-T
потомучто, много разношерстого железа и софта, и что бы подружить их между собой занимает много времени.
>Ситуация следующая: есть много удаленных пользователей которые подключаются с помощью различных операторов,
>через которых часть не может нормально работать без функции NAT-T.
>
>Есть несколько удаленных офисов это: FreeS/WAN, Windows 2000 2003 VPN короче на
>что горазды региональные админы... я вообщем не против...
>
>И есть Cisco PIX Firewall Version 6.3(3)
>
>если включаю isakmp nat-traversal, то отваливается FreeS/WAN
>если выключаю no isakmp nat-traversal, то отваливаеться часть удаленных пользователей.
>
>можно ли гибко задавать с кем делать NAT-T, а с кем нет?
>(очень неохота
>дружить по NAT-T региональные точки)
>
>люди дайте мыслю
Мысля такая, что надо заставить админов запинать ихний FreeS/WAN. Потому что NAT-T это просто инкапсуляция ESP в UDP, и если FreeS/WAN не может сделать такой простой вещи - это его проблема.