none
vpn 类型 ikev2 的 esp 协议 转换端口 RRS feed

  • 问题

  • 服务器是server2016,搭建的vpn服务器,配合了网络策略服务器nps,实现了vpn类型是ikev2的连接

    经过抓包发现,ikev2走的网络是udp500,udp4500,esp协议,因为现在的f5防火墙不支持esp协议,有什么办法能把esp协议转换成tcp或者udp的流量吗

    2019年12月16日 10:01

答案

  • Hi ,

    ESP 的全称是 Encapsulated Security Payload ,即“封装安全有效载荷", 它的主要功能是“加密” 和 “完整性验证”。

    所以他是无法被转换成TCP或者是UDP流量的,不是一个概念上的。

    我找到一篇F5的文档,有提到无法转发ESP的数据包,因为对三方的产品不熟悉,不清楚是否就是您说的F5防火墙:

    K14136: BIG-IP does not forward IPsec ESP (protocol 50) packets

    请注意:此链接非微软官方托管,链接随时可能失效,微软无法保证信息的准确性。
    这个你可能还是需要联系F5的支持来确认是否还有其他workaround的方法来通过esp的数据包。

    此致

    Candy



    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2019年12月17日 6:02
  • 目前没有找到可以转换协议的,剩下的就想办法让f5通过esp吧,好像f5需要至少13版本
    • 已编辑 郗混沌 2019年12月19日 1:17
    • 已标记为答案 郗混沌 2019年12月19日 1:17
    2019年12月19日 1:16

全部回复

  • Hi ,

    ESP 的全称是 Encapsulated Security Payload ,即“封装安全有效载荷", 它的主要功能是“加密” 和 “完整性验证”。

    所以他是无法被转换成TCP或者是UDP流量的,不是一个概念上的。

    我找到一篇F5的文档,有提到无法转发ESP的数据包,因为对三方的产品不熟悉,不清楚是否就是您说的F5防火墙:

    K14136: BIG-IP does not forward IPsec ESP (protocol 50) packets

    请注意:此链接非微软官方托管,链接随时可能失效,微软无法保证信息的准确性。
    这个你可能还是需要联系F5的支持来确认是否还有其他workaround的方法来通过esp的数据包。

    此致

    Candy



    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2019年12月17日 6:02
  • Hi ,

    请问目前问题进展如何?

    如果有任何疑问,请随时在贴下进行更新。如果回复对您有所帮助,请您把回复标记为答复,我将暂停对此贴的追踪。

    此致

    Candy


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

    2019年12月18日 2:04
  • 目前没有找到可以转换协议的,剩下的就想办法让f5通过esp吧,好像f5需要至少13版本
    • 已编辑 郗混沌 2019年12月19日 1:17
    • 已标记为答案 郗混沌 2019年12月19日 1:17
    2019年12月19日 1:16