IPsec NAT-T说明和环境搭建

最新推荐文章于 2025-03-09 12:54:42 发布
最新推荐文章于 2025-03-09 12:54:42 发布
阅读量6.8k 收藏 6
点赞数 2
分类专栏: IPSec vpn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s2603898260/article/details/105212626
版权

1. IPsec与NAT的关系

NAT作为一个IPV4的地址转换协议,它最初的目的是用来最解决IPv4地址不足的问题。通过NAT协议,局域网内的多个主机可以共同使用一个公网地址,这在很大程度上减轻了IPV4地址短缺的问题。但是随着NAT的发展,它也用来实现屏蔽一个公司或者企业的内部网络,从而可以对外隐藏真实的内部IP地址,从而降低被攻击的风险,如果从这方面考虑,就算互联网已经过渡到IPV6时代,NAT可能还是会存在的。广义的NAT设备根据转换的对象不同可以分为两种:NAT和NAPT。

1.1 狭义NAT:只转换IP地址

根据转换的地址的不同又可以分为:

  • 源NAT::只转换源IP地址。一般说来源NAT主要用在报文接入互联网时,将本地私网地址转换为公网地址;
  • 目的NAT:只转换目的IP地址。一般说来目的NAT用在报文从公网进入私网地址时,将目的地址由公网地址转换为本地私网地址。
最低0.47元/天 解锁文章
L2tp环境搭建笔记- 基本概念及IPsec安装配置
十年通信老兵的技术修炼之路——从3G到5G,从地面基站到卫星通信。
12-17 578
L2TP(Layer 2 Tunneling Protocol)是一种工作在二层的隧道协议,是一种虚拟专用网络(VPN)协议。L2TP通常基于IPSEC作底层链路加密,并且 使用PPP协议进行拔号。本文介绍其基本原理,并整机L2tp IPsec 服务端的安装及配置方法
简述IPSEC-NAT-T
HC博客
11-10 5016
IPSEC-NAT-T产生背景:NAT本身是对IP包的源地址修改,但是破坏了完整性,VPN校验时不完成就会丢弃。 普通NAT的作用:将原来的IP端口号改变,但是防火墙会有端口映射表所以会精确回包。 声明:第一阶段用的是UDP:500 第二阶段用的是ESP :500 双方身份ID不匹配的原因:在主模式下会使用本端的IP地址;当头部202.96.137.88传到深圳总部时会进行一次NAT转换,...
IPSec NAT-T技术
weixin_33812433的博客
08-27 200
NAT技术IPsec技术的应用都非常广泛。但从本质上来说,两者是存在着矛盾的。1.从IPsec的角度上说,IPsec要保证数据的安全,因此它会加密校验数据。2.从NAT的观点来看,为了完成地址转换,势必会修改IP地址。 IPSec提供了端到端的IP通信的安全性,但在NAT环境下对IPSec的支持有限,AH协议是肯定不能进行NAT的了,这AH设计的理念是...
防火墙Gre over IPSec的原理配置
最新发布
2403_83112422的博客
03-09 1168
实现PC1与PC2之间通过Gre over IPsec互访并且PC1能够通过NAT访问R3的loopback8接口
IPSec NAT-T
weixin_34408717的博客
08-12 233
IPSec NAT-T一 IPSec NAT-T技术在建立IPsec通道时,如果通道路径上有NAT设备也不会影响第一阶段的IKE SA的协商第二阶段IPSec SA的协商,因为通常将IKE的数据包封装在UDP数据包中,但是,在完成第二阶段协商后, IPsec数据包上的NAT会导致通道失败,(也就是说IPsec的通道可以建立,但是真正的User的数据无法传输)原因可能有多个,但是最关键的原因就是:...
ipsec NAT-T与穿透
weixin_33842304的博客
12-10 304
拓扑:   一 NAT-T R1配置:   R2配置: 默认开启NAT-T R3配置: 分析: 端口由UDP500变为UDP4500;隧道封装为:tunnel UDP-encaps。 二 穿透 R1配置: R2配置: R3配置: 分析: 端口是UDP500,没有改动 隧道封装:tunnel 可以看出穿透减小了...
nat-t
shihun010的博客
12-07 641
nat-t nat-t 解决了IPSec多连的问题。 1 隧道协商过程中,IKE规定源目的端口都必须为 UDP 500,在多VPN下源端口可能会在NAT后发生变化,再回包时认证失败。 2、数据传输过程中,由于ESP在工作在网络层,没有传输层头部,从而无法进行NAPT端口复用,导致 数据传输失败。 而nat-t也是专门为解决这两个问题而出现的 1nat-t协议运用在IPSec中,在IKE协商VP...
NAT-T:IPsec穿越NAT之道
热门推荐
u014023993的专栏
01-24 2万+
目录 1. IPsecNAT矛盾 2.  身份确认 3.  NAT-T 3.1 NAT-T流程 3.2 报文格式 4.  地址复用 4.1. 隧道模式下的冲突 4.2. 传输模式下的冲突  4.3. 同一个NAT下的冲突 Q And A 参考资料 1. IPsecNAT矛盾 在文章《IPsec》及《NAT》中介绍了IPsecNAT的基本知识。我们知道IPsec的协议...
NAT-T技术原理简单分析及应用实验解析
ZhangPengFeiToWinner的博客
11-13 1万+
1.首先我们就IPSEC VPN的部署场景来做简要分析: 场景1:如图所示,企业的总部与分支机构分别架设了VPN设备,分支机构的需求是同步企业内部的业务数据(属企业内部的机密信息),那麽就必须确保数据在公网上是安全包密传递的。这种情况下我们可以直接用IPSEC VPN的隧道工作模式或传输工作模式(用传输工作模式的前提是底层要有隧道),使用IPSEC VPN的ESP(封装安全载荷)协议(使用ESP...
阿里云 ubuntu16.04搭建IPSec服务
09-14
总结,IPSec服务的搭建在阿里云ECS上虽然有些特殊考虑,但通过遵循正确的步骤注意事项,可以顺利创建一个安全的IPSec网络环境。这个过程涉及了安全组配置、系统设置、协议配置等多个层面,对于理解实施网络安全...
ipsec nat-t
weixin_33835103的博客
03-15 133
Windows 2000-based client computers, located behind a NAT device, that haveupdate 818043 installed can connect to a “public” (not NAT-ed) L2TP/IPSec ××× server.Windows XP Service Pack 2-bas...
教你搭建一个NAT实验环境
阿群的笔记(同步备份自简书)
01-03 640
修改 /etc/sysctl.conf 找到如下内容并去掉井号, 允许 IPv4 转发 # Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1 手动开启 IPv4 转发 sudo sysctl -w net.ipv4.ip_forward=1 sudo ...
HCIE-Security Day35:IPSec-NAT-T
小梁的博客
04-04 1949
NAT穿越场景 在ipsec pn部署中,如果发起者比如fwc位于私网内部,而它希望与fwa之间直接建立一条ipsec隧道,这种情况下nat会对部署ipsec pn网络造成障碍。 在多站点企业中,有的站点连动态的公网IP地址都没有,只能先由网络中的nat设备进行地址转换,然后才能访问internet,此时如果同时需要另一个站点建立ipsec通道的话,就存在问题。 IPSec是用来保护报文不被修改的,而NAT却专门修改报文的IP地址,所以肯定存在问题。 协商IPSec的过程是由isakmp报文完成的
NAT-TPAT(IPSec
weixin_30687051的博客
12-13 221
¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥NAT-T技术介绍¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥ 为什么TCPUDP不能穿越:TCPUDP有一个IP头的尾部校验(校验头部负载,IP尾部(SIP,DIP,协议号));而IP只是校验IP头部。穿过NAT的时候,IP头部的地址变了,那么校验结果也就改变了,这样就不行了。数据在传输层就丢掉了。 Cisco的IOS 12....
IPSec NAT-T穿越技术
weixin_34128534的博客
12-07 697
IPSec NAT-T穿越技术在NAT技术IPsec技术的应用都非常广泛。但从本质上来说,两者是存在着矛盾的。1.从IPsec的角度上说,IPsec要保证数据的安全,因此它会加密校验数据。2.从NAT的观点来看,为了完成地址转换,势必会修改IP地址。 IPSec提供了端到端的IP通信的安全性,但在NAT环境下对IPSec的支持有限,AH协议是肯定不能进行...
Ipsec Nat-Traversal
bytxl的专栏
06-26 5429
http://blog.csdn.net/jianchaolv/article/details/7903882 http://blog.csdn.net/jianchaolv/article/details/8454991
互联网协议 — IPSec 安全隧道协议 — NAT-T
烟云的计算
04-04 1546
目录 文章目录目录IPSec NAT-T 应用场景 IPSec NAT-T 应用场景 待续。
NAT-T技术
weixin_51045259的博客
03-11 1737
传输模式下的隧道模式 ESP可以
cpt怎么搭建对称式广域网
12-20
以下是关于如何搭建对称式广域网的两种方法***```shell # 安装OpenVPN sudo apt-get update sudo apt-get install openvpn # 生成CA证书服务器证书 cd /etc/openvpn/easy-rsa source vars ./clean-all ./build-ca ./build-key-server server ./build-dh # 生成客户端证书 ./build-key client1 # 生成TLS密钥 openvpn --genkey --secret ta.key # 配置OpenVPN服务器 cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/ gunzip /etc/openvpn/server.conf.gz vim /etc/openvpn/server.conf # 启动OpenVPN服务器 openvpn --config /etc/openvpn/server.conf ``` 2. 使用IPsec搭建对称式广域网 ```shell # 安装StrongSwan sudo apt-get update sudo apt-get install strongswan # 配置StrongSwan vim /etc/ipsec.conf vim /etc/ipsec.secrets vim /etc/strongswan.conf # 配置连接 ipsec up myvpn # 配置iptables iptables -A FORWARD -s 10.0.0.0/24 -d 10.0.0.0/24 -j ACCEPT iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE ```*** 如何确保对称式广域网的安全性?
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叨陪鲤

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值