我在从我的站点的一个端点到供应商的 IPsec 隧道建立第一阶段时遇到了一个持续性问题。
这是一个有点奇怪的配置,我不确定 NAT-T必须才能使其正常工作。
我的接口的IP是192.168.100.1。
IPsec数据包的源IP是192.168.100.5。
IPsec 数据包在穿越“云”时,其源 IP 是公网地址。
== IPsec 数据包经过两次 NAT
目前尚不清楚(不幸的是我看不出来),防火墙是否真的在对数据包进行 NAT,或者在生成数据包时是否真的分配了源地址。[是的,我真的看不出来]
NAT-T在什么情况下必需的通过 IPsec 隧道来建立它?
上述情况下是否需要它?
我希望进行测试,但供应商不愿意。
谢谢,
马特
答案1
在这种情况下,由于您正在使用 NAT,因此需要 NAT-T。如果不使用 NAT-T,IPSec 数据包将在 NAT 过程中在传输过程中被修改,从而使其失效。使用 NAT-T 时,IPSec 数据包将封装在 UDP 数据包中,从而保留原始数据包。