Я понимаю, почему невозможно использовать IPSec AH через сервер NAT, так как заголовок IP также включен в MAC. Но меня смущает ESP с аутентификацией (я говорю о туннельном режиме, но я предполагаю, что нет никакого различия с транспортным режимом)

Из этого объяснения я получил то, что аутентификация в ESP аутентифицирует полезную нагрузку ESP +, включая исходный заголовок IP, но никакие поля «нового» заголовка IP с не используются для доступа к другой конечной точке IPSec.

Так почему же это проблема, если адрес источника меняется?

Я предположил, может быть, это связано с изменением порта источника, но порт источника зашифрован, так что это не будет проблемой. Это привело меня к другой возможности, что просто невозможно NAT такой пакет, потому что в моем заголовке IP или ESP нет порта - это причина?

Спасибо

|источник

1 ответ1

0

Это привело меня к другой возможности, что просто невозможно NAT такой пакет, потому что в моем заголовке IP или ESP нет порта - это причина?

Да, это определенно одна из причин, особенно с несколькими хостами IPsec за одним устройством NAT. Пожалуйста, прочтите RFC 3715 (Требования совместимости трансляции сетевых адресов IPsec (NAT)) для описания потенциального влияния NAT на соединения IPsec.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .