Я понимаю, почему невозможно использовать IPSec AH через сервер NAT, так как заголовок IP также включен в MAC. Но меня смущает ESP с аутентификацией (я говорю о туннельном режиме, но я предполагаю, что нет никакого различия с транспортным режимом)

Из этого объяснения я получил то, что аутентификация в ESP аутентифицирует полезную нагрузку ESP +, включая исходный заголовок IP, но никакие поля «нового» заголовка IP с не используются для доступа к другой конечной точке IPSec.

Так почему же это проблема, если адрес источника меняется?

Я предположил, может быть, это связано с изменением порта источника, но порт источника зашифрован, так что это не будет проблемой. Это привело меня к другой возможности, что просто невозможно NAT такой пакет, потому что в моем заголовке IP или ESP нет порта - это причина?

Спасибо

1 ответ1

0

Это привело меня к другой возможности, что просто невозможно NAT такой пакет, потому что в моем заголовке IP или ESP нет порта - это причина?

Да, это определенно одна из причин, особенно с несколькими хостами IPsec за одним устройством NAT. Пожалуйста, прочтите RFC 3715 (Требования совместимости трансляции сетевых адресов IPsec (NAT)) для описания потенциального влияния NAT на соединения IPsec.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .