我们时常会遇到无法使用 IPSEC VPN 隧道的问题。有时我们知道当地政府限制使用 IPSEC(例如孟加拉国),因此必须获得某种豁免。有时 ISP 会进行更改,导致连接中断(例如海地)。
我假设有很多因素可能会阻止 IPSEC 工作。例如,阻止 UDP 端口 500 会阻止 IKE。
除了寻找特定问题的解决方案之外,有人可以列出 ISP 可能采取哪些不同措施来阻止 IPSEC 流量(无论是有意还是无意)吗?
这个问题的答案不仅有助于排除故障,还能让 ISP 知道当我们无法启动 VPN 时他们需要修复哪些具体问题!
答案1
借鉴IPsec虚拟专用网络基础知识第 4 章以下架构问题可能会中断 IPsec 流量:
- 防火墙不允许所需协议
- ISAKMP(端口 500)
- ESP(IP 协议 50)
- AH(IP 协议 51)
- 防火墙(或路由器)不处理碎片化的 IPsec 数据包,例如
- 不回复 ICMP 不可达数据包——破坏路径 MTU 检测
其中一些问题可能是由于 ISP 引入了新设备,默认情况下会执行上述操作之一(阻止 ICMP-Unreachable 似乎很可能是默认设置)。他们可能没有意识到需要修复此类问题以支持使用 IPSEC 的客户 - 而且这可能不会影响所有客户。
答案2
我们真的无能为力来回答这个“问题”——他们可以阻止 IKE,他们可以阻止 L2TP/GRE/其他隧道协议,他们可以阻止任何看起来可能使用 ESP/AH 的数据包,等等。
-- 可能出现故障的方式的详尽列表(通常)是无限的:如果没有关于如何设置 VPN 以及如何排除故障的具体细节,几乎不可能向您提供比上述内容更详细的信息,尽管我确信其他人可以列出他们遇到的具体故障以及他们是如何解决的……