none
IPSEC через NAT (Microsoft) RRS feed

  • Вопрос

  • Добрый день всем!

    Сконфигурировал IPsec шлюз на server 2012, клиенты IPsec подключаются к шлюзу в туннельном режиме и получают доступ к локальной сети. Данная схема работает если между клиентом и шлюзом используется маршрутизируемый путь. То есть от клиента до шлюза пакет ip проходит без каких-либо модификаций. Если клиент подключается к шлюзу через nat, связь не устанавливается, поскольку nat меняет заголовки ip.

    Вопрос, как пробросить IPsec туннель через устройства nat?

Ответы

Все ответы

  • Не знаю как насчет конкретно шлюза на 2012, но вообще это называется nat-traversal
  • Для работы IPSec через NAT используется несколько другой протокол - NAT Traversal, - в котором пакеты IPSec инкапсулируются в пакеты UDP (порт 4500). Если используются компьютеры под Windows в качестве обоих сторон соединения, то, если вызывающая сторона (клиент) находится за NAT, то стороны в процессе согласования обнаруживают этот факт (по изменению номера порта в IKE) и автоматически переходят на NAT Traversal

    Так что если ваши клиенты - это компьютеры по Windows, то они должны переходить на NAT Travresal и работать через VPN. Проблема тут может быть на стороне сервера - если на нем почему-то блокирован или попадает под действие правила подключения с использованием IPSec порт 4500/UDP.


    Слава России!

  • В моей среде вот такая схема:

    сервер (шлюз IPsec) находится за маршрутизатором cisco, на cisco я пробрасываю трафик статическим nat к шлюзу ipsec.

    Искал информацию по nat-t, не пойму, можно ли его вручную конфигурировать, и, собств где конфигурировать на конечных точках туннеля или непосредственно на nat? Может кто знает нормальные источники почитать.

    Еще не понятен один момент. Насколько я понял за контроль целостности отвечает протокол AH. Поскольку nat меняет заголовки, AH стает помехой. Как пишет MS контроль целостности средствами ESP не должен подвергаться влиянию nat. Я пробовал отключать AH но результат тот же.

  • Если сервер находится за NAT, то клиенты Windows по умолчанию не будут переходить на NAT Traversal (NAT-T)по соображениям безопасности. Потребуется изменить поведение клиента через изменение в его реестре: для Vista и выше см. ст. 926179 MS KB


    Слава России!