我们的一个客户正在私有网络地址范围内设置 ISA 集群,我们必须与他们建立 VPN 连接。没有办法避免 NAT-T,这就是我们遇到的问题:
在 IKE 请求中有一个字段 ENCAPSULATION_MODE,其中如果按照书上说的做,NAT-T 的值应该是 3(RFC3947)。
然而,思科和微软 ISA 似乎仍然发送历史值 61443,OpenBSD 接受了这个值(宽容,良好)。但是 - 没有办法让 OpenBSD 发送 ENCAPSULATION_MODE = 61443 的请求,而“标准”值 3 被微软 ISA 拒绝。
有人知道这个问题的解决办法吗?
很高兴听到 MS ISA 有一个补丁允许它接受“3”...
更新:“另一方”有 MS ISA 2006 Enterprise。“我们这边”有 OpenBSD 4.5。
答案1
解决方案是在 OpenBSD 端完全手动配置 VPN 连接(isakmpd.conf 而不是 ipsec.conf),并在快速模式自定义转换定义中使用 ENCAPSULATION_MODE=UDP_ENCAP_TUNNEL_DRAFT。
可配置性万岁!