Welche ACL für NAT-Traversal-Discovery?

[niedax]

Hallo zusammen !

Auf unserm CISCO-Router sollen sowohl mehrere statische, als auch dynamische Tunnel (mittels CISCO VPN-Client) terminieren. Wir haben nun unser WAN-Interface folgendermassen beschränkt und dabei Merkwürdiges festgestellt:

--> ...mehrere Anti-Spoofing-Regeln
--> permit esp any host <unserGW>
--> permit udp any host <unserGW> eq isakmp
--> permit udp any host <unserGW> eq non500-isakmp

Die ACL für ausgehenden Traffic ist genau analog dazu.

Werden noch weitere Freigaben für den NAT-T-Discovery benötigt?
Folgendes Phänomen haben wir festgestellt:

Kollege(Provide T-Online-Standard, Standard-Telekom-Router) wählt sich von zu Hause per VPN-Client ein, kann alle IP's im LAN Pingen.
Meine Wenigkeit(Provider 1&1, fli4l-Router) kann sich auch einwandfrei einwählen, jedoch keine IP im LAN pingen. Alle ACL's Richtung LAN sind ok und für uns beide gleich.
Dann habe ich o.g. ACL für ausgehenden Verkehr vom Interface genommen und bei mir funktioniert der PING auf einmal auch.
Benötigt NAT-T-Discovery nicht noch ICMP-Verkehr? Aber wenn ja, wieso geht's bei mir nicht bzw. nur ohne die OUT-ACL, aber bei meinem Kollegen ohne Probleme?
Danke für eure Hilfe.
Gruß,

Stefan

[Wordo]

Braucht man fuer NAT-T nicht Port 4500 (UDP/TCP?). So kenn ich das von OpenSWAN (Linux).

[niedax]

Meines Wissens nach laufen die Verbindungen für NAT-T-Discovery immer von udp 4500 auf udp 4500. Bei meinem Kollegen scheint das auch so zu sein, bei mir werden zusätzlich ausgehende udp-Pakete > 1024 gesendet. Habe diesen Verkehr nun an dem ausgehenden Interface freigegeben und es läuft nun.
Ich habe allerdings keine Ahnung, wieso.
Gruß,

Stefan