基于openswan klips的IPsec实现分析(十一)NAT穿越
转载请注明出处:http://blog.csdn.net/rosetta
本节介绍openswan klips的NAT穿越,应用层IKE协商时的NAT在以后的文章再做介绍。
简介
IPsec和NAT的冲突:
NAT服务器对内网来的数据包,需要修改其源地址和源端口为服务器自身的地址和端口,然后才将其进行转发。这种修改破坏了IPsec数据的完整性,导致接收方验证失败;另外,对于ESP封装的数据包,端口信息已经被加密,NAT服务器无法获得,使得NAT转换无法进行下去。这就是IPsec和NAT之间的冲突。
最常见的解决这种冲突的办法,就是UDP封装,即在IPsec协议数据包外包裹一层UDP头,这样NAT修改的东西就仅仅局限于UDP头内部了,不会损伤IPsec数据。
openswan对NAT穿越的支持就是采用UDP封装:
数据发送过程,依据natt_type类型及UDP长度是否已经赋值给natt_head来决定是否需要进行穿越处理;
数据接收过程,因为接收UDP包是由内核接收处理的,openswanklips的首要工作就是给内核打补丁,在处理UDP包时加入自己的处理函数。
控制宏:
#define CONFIG_IPSEC_NAT_TRAVERSAL
结构体成员:
#ifdef CONFIG_IPSEC_NAT_TRAVERSAL
__u8 natt_type;
__u16 natt_sport;//源端口
__u16 natt_dport;//目的端口
int natt_len;
#endif
natt_type 类型:ESPINUDP_WITH_NON_IKE、ESPINUDP_WITH_NON_ESP。
发送过程:
在数据加密之前首先需要获取端口等必要信息,否则进行ESP加密后就无法获取。需要加密的数据完成加密后,封装UDP信息的操作是在ipsec_tunnel_start_xmit()函数尾部的ipsec_tunnel_restore_hard_header()函数中进行的。
int ipsec_tunnel_start_xmit(structsk_buff *skb, struct net_device *dev)
{
……
stat = ipsec_xmit_encap_bundle(ixs);//加密IP数据包
……
stat=ipsec_tunnel_restore_hard_header(ixs);
if(stat!= IPSEC_XMIT_OK) {
}
stat= ipsec_tunnel_send(ixs);//发送数据
return0;
}
enum ipsec_xmit_value
ipsec_tunnel_restore_hard_header(structipsec_xmit_state*ixs)
{
……
#ifdef CONFIG_IPSEC_NAT_TRAVERSAL
if(ixs->natt_type && ixs->natt_head) {
structiphdr *ipp = ixs->skb->nh.iph;
structudphdr *udp;
KLIPS_PRINT(debug_tunnel& DB_TN_XMIT,
"klips_debug:ipsec_tunnel_start_xmit:"
"encapsuling packet into UDP(NAT-Traversal) (%d %d)\n",
ixs->natt_type, ixs->natt_head);
//以ESP隧道,ICMP数据,3DES_MD5为例。
ixs->iphlen= ipp->ihl << 2;//IP首部长度(不太任何选项的首部)。5*4=20Byte
ipp->tot_len= htons(ntohs(ipp->tot_len) +ixs->natt_head); //112B+8B=120B
if(skb_tailroom(ixs->skb)< ixs->natt_head) {
printk(KERN_WARNING"klips_error:ipsec_tunnel_start_xmit: "
"triedto skb_put %d, %d available. "
"Thisshould never happen, please report.\n",
ixs->natt_head,
skb_tailroom(ixs->skb));