Cisco PIX und NAT-T

von dr. klaus schmoltzi, 31.08.2007

Abhängig von der Version des Betriebssystems kommen bei der Cisco PIX Firewall verschiedene Ports für NAT-T (NAT Traversal, IPSec over UDP) zum Einsatz. Aus unserer bisherigen Erfahrung mit diesen Systemen ergibt sich folgende Tabelle:

PIX Version
NAT-T in IKE Global Parameters ausgewählt
NAT-T in den IPSec Rules ausgewählt
6.3 UDP-Port: 4500
nicht möglich
7.x UDP-Port: 4500
UDP-Port: 10000
8.x UDP-Port: 10000
UDP-Port: 10000

Falls sich vor der PIX Firewall weitere Filter-Systeme (Router, Firewalls, etc.) befinden, müssen für NAT-T die betreffenden Ports freigegeben werden. Falls die angegebenen Ports geblockt werden, kommt bei der Aushandlung der VPN-Verbindung mit IPSec nur die Phase 1 zu Stande.

Druckansicht Artikel weiterempfehlen

PIX Version	NAT-T in IKE Global Parameters ausgewählt	NAT-T in den IPSec Rules ausgewählt
6.3	UDP-Port: 4500	nicht möglich
7.x	UDP-Port: 4500	UDP-Port: 10000
8.x	UDP-Port: 10000	UDP-Port: 10000