ipsec ESP 包的 nat 问题 - V2EX

Home Sign Up Sign In

This topic created in 1162 days ago, the information mentioned may be changed or developed.

网络拓扑是:
LAN PC1/PC2 ---家庭路由器----Internet----IPSec server

假设路由器有公网 IP 。
LAN PC1 和 PC2 都连接*相同*的 IPsec server.当 IPsec SA 建立成功后，因为 ESP 是三层协议，不像 tcp/udp
那样有端口。那么家庭路由器对从 IPsec server 发往 PC1 或者 PC2 的包是怎样进行 nat 转换的呢?依据是什么？
ESP 包中的 SPI ？如果 SPI 相同呢？

楼主多年前研究过一段时间 IPSec ，但好多东西忘了。最近突然想到这个问题。有点困惑了。

6 replies • 2023-03-15 09:48:04 +08:00

1

hzdrro

Mar 14, 2023

NAT-T ，会有 UDP 头

2

huangya

OP

Mar 14, 2023

@hzdrro
你是说 server 发给 PC1 和 PC2 的 ESP 包会加上 UDP 头吗？如果是：
1. 这个加 UDP 头，是在协商阶段定的吗？也就是怎么决定或者探测是否要加 UDP 头？
2.从 PC1/PC2 发往 server 的时候，也加了吧？

3

hzdrro

Mar 14, 2023

1

@huangya
1. 是 https://www.rfc-editor.org/rfc/rfc3947#page-4
2. 也加

4

folnet

Mar 14, 2023

协商的时候通过 NAT-D 检测，主要就是通过对 ip 和端口进行 hash 判断有没有 NAT 。检测到 NAT ，后续协商报文和实际封装使用 UDP 4500

5

huangya

OP

Mar 14, 2023

@hzdrro
@folnet
这样看起来本来一个三层的协议由于 NAT 硬生生变成了一个四层协议，这可能也是 openvpn 兴起的一个原因吧？

6

Jhma

Mar 15, 2023

@huangya ipsec(l2tp)缺点很明显，网对网只能在路由里面写策略才能实现按需求代理，网对点（ ipsec l2tp)基本只能全局代理，而 openvpn 就比较灵活了,openvpn 可以做到用户名+密码+证书+APP 动态密码二次认证！

About · Help · Advertise · Blog · API · FAQ · Solana · 1018 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 38ms · UTC 22:32 · PVG 06:32 · LAX 15:32 · JFK 18:32
♥ Do have faith in what you're doing.