ipsec和NAT-T穿越

当总部与分部之间存在nat设备时,ipsec的的隧道地址会发生变化,导致ipsec的ike协商无法成功建立
因为建立隧道时,防火墙会匹配ike peer里的remot地址进行建立,而当分部的数据包到达nat设备后,地址会被转换掉,送到分部后,ike会对比发现不匹配,于是被丢弃掉
所以,nat穿越在配置ike peer里会有一些改变,下面来看一下配置
初配:
总部,分部的IP地址,以及zone和域间策略,保证路由想通,这里要注意一下,因为ipsec的安全性比较高,所以不支持动态路由,只支持静态。
配置ipsec:
总部的ike peer:
ike peer fb
remote-add 202.1.1.1
remote-add au 172.16.1.2
undo ver 2 ——————————(版本一不支持)
pre-shared-key huawei@123
加粗的那条命令是针对nat的配置
|
分部的ike peer:
ike peer zb
remote-add 101.1.1.1
undo ver 2
pre-shared-key huawei@123
在总部写ike时,要写实际地址,因为与总部建立ipsec的不是nat设备,而是分部的防火墙

nat设备的配置:
nat server ipsec1 proptle udp global int g1/0/0 50 inside 172.16.1.2 50
(esp建立连接的端口号)
nat server ipsec2 proptle udp global int g1/0/0 4500 inside 172.16.1.2 4500
在数据包里,地址转换会转换端口号(多 vs 1),但是esp无端口号,所以会在esp前面加一个udp头部,让防火墙以为后面是udp载荷(端口号4500),这样,就可以穿越nat设备

测试:
[Outbound ESP SAs]
SPI: 2634530164 (0x9d07bd74)
Proposal: ESP-ENCRYPT-AES-256 SHA2-256-128
SA remaining key duration (kilobytes/sec): 10485760/1933
Max sent sequence-number: 9
UDP encapsulation used for NAT traversal: Y(nat穿越开启)
SA encrypted packets (number/kilobytes): 8/0
[Inbound ESP SAs]
SPI: 2567043226 (0x9901f89a)
Proposal: ESP-ENCRYPT-AES-256 SHA2-256-128
SA remaining key duration (kilobytes/sec): 10485760/1933
Max received sequence-number: 10
UDP encapsulation used for NAT traversal: Y
SA decrypted packets (number/kilobytes): 9/0
Anti-replay : Enable
Anti-replay window size: 1024

ipsec和nat穿越相关推荐

  1. IPSec的NAT穿越

    IPSec的NAT穿越 本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途. msn: yfydz_no1@hotmail.c ...

  2. IPSEC是如何穿越NAT的

    我们知道IPSEC在工作的时候,如果遇到了NAT,就会带来麻烦,什么麻烦呢?(IPSEC的基础需要清晰) 主要有2种麻烦 1 如果IPSEC和NAT在同一台设备上的时候,是先进行路由查找,然后进行进行 ...

  3. IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置

    IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 USG5500A 与USG5500C.USG5500D建立IPSEC VPN Tunnel,其中USG5500C穿越USG5500B NAT ...

  4. IPSec NAT穿越原理

    在IPSec VPN部署中,如果发起者位于私网内部(如下图FW_C),而它希望与FW_A之间直接建立一条IPSec隧道,这种情况下NAT会对部署IPSec VPN网络造成障碍. PC2发业务报文给PC ...

  5. IPSec协议抓包详解和IPSec NAT穿越报文解析

    目录 协议概述 2.IPSec作用 3.认证方式 3.1.预共享密钥 3.2.数字证书 4.ESP加密算法 4.1.ESP完整性检测 4.2.ESP防重放 4.3.ESP防窃听 5.IPSec工作原理 ...

  6. IPsec NAT穿越

    UDP封装 ESP协议对数据包的上层(TCP/UDP)数据封装后,上层数据被加密保护,这样NAT无法获取正确的端口信息,从而使得转换发生失败.用IPv4协议中标准UDP协议头封装IPSec:数据包,构 ...

  7. NAT穿越(NAT-T)原理

    IPSec NAT 穿越简介 IPSec NAT穿越的场景: 本质上解决ESP协议无法提供转换端口,插入UDP 4500端口 有以下两种场景,需要进行进行NAT穿越. 场景一.FW既做IPSEC网关, ...

  8. NAT 穿越技术(一)

    转自:https://g.hacking8.com/urlsa=t&rct=j&q=&esrc=s&source=web&cd=4&cad=rja&am ...

  9. IpsecVpn -nat穿越-01

    上:传输模式封装 上,隧道模式封装 NAT-T 解决方案 1. 传输模式NAT问题: AH :NAT tcp/udp  和ip头 都有穿越问题 esp: nat ip地址没有穿越问题,端口转换 有na ...

  10. IPFS: NAT traversal(NAT穿越)

    IPFS是一个p2p网络,那么一定绕不开的一个问题就是NAT穿越.之前的文章里面也提到过IPFS网络连通性使用的ICE NAT穿越框架,本文简单介绍一下什么是NAT. 为什么有NAT技术? NAT主要 ...

最新文章

  1. opencv 二值化 python_Python OpenCV 图像二值化-阈值分割
  2. IDEA 快捷键 (长期更新)
  3. mpi和openmp混合编程的优点_西门子PLC可编程控制器CPU1215C一级总代理
  4. 在wince中添加微软的雅黑字体
  5. 使CEdit处于全选状态
  6. Mac Dock截图的小技巧
  7. 查看和修改MySQL数据库表存储引擎
  8. python爬虫实战之爬取QQ音乐
  9. 基于java的百货中心供应链管理系统
  10. HS300股指与其成分股的价格匹配
  11. ES索引重建reindex详解
  12. 奶块最新服务器叫什么,奶块全部服务器 | 手游网游页游攻略大全
  13. 分布式ID之生成策略
  14. 【心随意动】20-SIST研一秋季上学期课程总结【补】
  15. Java基础----【异常、线程】
  16. 只要不上网,pc机就不会感染计算机病毒,计算机考试试题训练
  17. HTML在线颜色选择器源码
  18. 《七哥说道》第十六章:程序员,江湖见
  19. 图钉能按到墙上吗_像图钉一样把纸按在墙上的东西叫什么
  20. 英文中的一些常见缩写

热门文章

  1. 学习笔记 利用反射 手写一个简单的实体类 转json 的方法
  2. bpftrace - tcpstates.bt
  3. 摄像头(WebCam)在Linux操作系统中的驱动方法
  4. idea 编译jar_Flink1.9.2源码编译和使用
  5. php rand js,js中的php rand函数
  6. sudo apt-get 与 yum
  7. linux创建用户、设置密码、修改用户、删除用户:
  8. vision里面pt与字号大小对应关系
  9. Q-Fish 升级技嘉主板BIOS
  10. 【Python 语言基础】第一章 Python入门