Re: lug-bg: VPN
- Subject: Re: lug-bg: VPN
- From: Viktor Vasilev <viktor@xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx>
- Date: Sun, 24 Apr 2005 14:31:48 +0200
В 08:25:48am +0300 на 24 Апр 2005г, Georgi Sinapov написа:
>
> > IPSec не работи през NAT
> > доколкото знам, защото "не
> > понася" пакетите да се
> > модифицират.
> >
> Има решение и на това, казва се NAT Traversal
> http://www.faqs.org/rfcs/rfc3947.html. Това позволява да се открие
> използването на NAT от хостове (както клиенти, така и сървъри) при
> IKE negotiation и в последствие ESP протокола да минава безпроблемно
> (на цената на един UDP header:).
>
> За момента не ми е известно решение за преминаване на AH през NAT,
> мисля че това концептуално е невъзможно, но ако някой знае, нека
> пише.
NAT-T не може да бъде прилаган когато се използва само протокола AH.
Повечко информация по темата има в RFC 3715.
Една от идеите зад AH е да се гарантира цялостта на пренасяния IP
пакет. Под цялост се има впредвид гаранция, че никъде по пътя IP
хедъра или пренасяните данни няма да бъдат променяни. AH протокола
специфицира и кои полетата в IP хедъра правят изключения - например
такива, които се променят от рутери, като TTL или header checksum.
Source и Destination IP не спадат към полетата, които могат да бъдат
преправяни и заради това променянето им ще доведе до инвалидиране на
IPSec пакета.
Макар, че това е само част от голямата картинка, в която IPSec се
помества, и че AH в тунелиращ режим изглежда мааалко по-различно,
мисля че е достатъчно за да се разбере защо NAT-T е несъвместим с
протокола AH.
Поздрави,
Вик
--
Linux is for those who hate Windows.
FreeBSD is for those who love UNIX.
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|