IPsec 隧道何时成为 NAT-T 的真正候选(何时绝对需要它?)?

IPsec 隧道何时成为 NAT-T 的真正候选(何时绝对需要它?)?

我在从我的站点的一个端点到供应商的 IPsec 隧道建立第一阶段时遇到了一个持续性问题。

这是一个有点奇怪的配置,我不确定 NAT-T必须才能使其正常工作。

  • 我的接口的IP是192.168.100.1。

  • IPsec数据包的源IP是192.168.100.5。

  • IPsec 数据包在穿越“云”时,其源 IP 是公网地址。

    == IPsec 数据包经过两次 NAT

目前尚不清楚(不幸的是我看不出来),防火墙是否真的在对数据包进行 NAT,或者在生成数据包时是否真的分配了源地址。[是的,我真的看不出来]

NAT-T在什么情况下必需的通过 IPsec 隧道来建立它?

上述情况下是否需要它?

我希望进行测试,但供应商不愿意。

谢谢,

马特

答案1

在这种情况下,由于您正在使用 NAT,因此需要 NAT-T。如果不使用 NAT-T,IPSec 数据包将在 NAT 过程中在传输过程中被修改,从而使其失效。使用 NAT-T 时,IPSec 数据包将封装在 UDP 数据包中,从而保留原始数据包。

相关内容