NAT-T下的端口浮动

最新推荐文章于 2025-03-12 15:16:25 发布
最新推荐文章于 2025-03-12 15:16:25 发布
阅读量5.8k 收藏 2
点赞数 3
分类专栏: IPSec vpn 文章标签: 端口浮动 PORT_FLOATING NAT穿越 ESPINUDP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s2603898260/article/details/105214411
版权

1. IKE端口浮动

IPsec在隧道建立第一第二阶段主要进行加密方式、加密策略等信息的协商,这部分功能是通过IKE协议来实现的。
IKE协议默认端口为500,但是如果IPsec隧道传输路径上存在NAT设备,那么IKE的端口会从500浮动到4500端口,这样做最主要的目的是:

避免某些NAT设备不转换源端口为500的报文,从而导致NAT穿越失败。

因此IKE通常情况下会同时监控UDP的两个端口:500和4500。

2. IKE端口是否浮动

前一段时间遇到场景:隧道可以正常建立成功,但是数据不通。查了一周时间确定是由于对方设备不支持IKE端口浮动,即使在NAT穿越情况下也未进行端口浮动,依然使用了500端口。
下面是基于openswan源码整理的NAT-T相关的接口及关系:
在这里插入图片描述

2.1 探测是否支持NAT-T

发起者 响应者 HDR, SA, VIDs HDR, SA, VID 发起者 响应者

在这里插入图片描述
在这里插入图片描述
IPsec的隧道的发起方会在第一阶段的第一个报文中将本端支持的NAT-T标准以负载VID的方式发送到对端,在openswan源码中VID与NAT-T类型对应关系如下:

序号VID类型对应的数值NAT-T类型支持端口浮动
1VID_NATT_IETF_00105NAT_TRAVERSAL_IETF_00_01
2VID_NATT_IETF_02_N106NAT_TRAVERSAL_IETF_02_03
3VID_NATT_IETF_02107NAT_TRAVERSAL_IETF_02_03
4VID_NATT_IETF_03108NAT_TRAVERSAL_IETF_02_03
5VID_NATT_RFC109NAT_TRAVERSAL_RFC

对端根据接收到的标准(一般包含多个)中选择其中一个VID作为NAT-T的类型,而VID选择的依据便是**“选择数值大的标准”**,也就是上表中的VID_XXX的优先级随着数值增加而依次递增:VID_NATT_RFC > VID_NATT_IETF_03 > VID_NATT_IETF_02 > VID_NATT_IETF_02_N > VID_NATT_IETF_00。

2.2 探测路径上是否存在NAT设备

在主模式下,NAT设备的探测是在第三四个报文中通过NAT-D来探测的,探测的方式就计算本端IP地址和端口的HASH1值和对端IP地址和端口的HASH2值,然后将这两个哈希值同时以NAT-D负载的方式发送给对方设备,对方收到后通过计算接收到的报文中源和目的的IP地址和端口的哈希值与NAT-D负载中的哈希值进行比较:

发起者 响应者 HDR, SA, VIDs HDR, SA, VID HDR, KE, Ni, NAT-D, NAT-D HDR, KE, Nr, NAT-D, NAT-D *HDR,IDii, [CERT, ] SIG_I *HDR,IDii, [CERT, ] SIG_R 发起者 响应者

在这里插入图片描述
在这里插入图片描述
判断依据:

  • 计算对端的IP地址和端口的哈希值hash1, 然后与报文中NAT-D中对端计算的哈希值HASH1进行比较,如果不同,说明对端的IP地址或者端口发生了变化,因此对端设备是位于NAT设备之后的。
  • 计算本端的IP地址和端口的哈希值hash2, 然后和报文中NAT-D负载中对端的计算结果HASH2进行比较,如果不同,则说明本端的IP地址或者端口发生了变化,因此本端设备是位于NAT设备之后的。
  • 由于响应端在第三个报文时便可以知道链路上的NAT情况,但是发送端还不清楚,因此响应端需要将本端和对端的哈希值计算后填充到第四个报文的NAT-D负载中发送给发起端。
    在这里插入图片描述

2.3 openswan源码说明

在openswan源码中,NAT-T的类型(包括选用的NAT-T标准, NAT情况)存储在st->hidden_variables.st_nat_traversal之中,用位来表示(高31---- 低0):
其中:

NAT-T类型(标准)st_nat_traversal中的位
NAT_TRAVERSAL_IETF_00_01第1位
NAT_TRAVERSAL_IETF_02_03第2位
NAT_TRAVERSAL_RFC第3位
对端设备NAT第31位
本端设备NAT第30位

3. IKE端口浮动几个疑问

3.1 IKE端口浮动的原因

端口浮动的原因在于有些NAT设备对于500端口的报文不做NAT转换,从而导致NAT穿越失败。至于都包括哪些设备,暂不清楚。因此将端口浮动到4500后,方便NAT设备进行映射转换,从而实现NAT-T穿越。

3.2 IKE端口浮动是必须的吗?

首先说明,端口浮动不是必须的,但是现在通常情况下是进行端口浮动的:即如果有NAT-T存在,则IKE端口会从500切换到4500。

3.3 IKE端口浮动一定是浮动到4500吗?

IKE端口浮动肯定是将端口由500浮动到4500的(包括源端口和目的端口),但是中间的NAT设备如果支持端口映射的话,那么一般是将源端口做一个映射, 源端口做映射对于IPSEC影响并不大,但是要求IPsec能够响应来自任意端口的报文(下图中的X便是经过NAPT映射后的IPsec报文)。NAT设备做端口映射的目的主要为了为了实现多路分解和复用。

4500 -> 4500
x->4500
x->4500
发起端
发起端NAT
响应端NAT
响应端
nat-t
shihun010的博客
12-07 651
nat-t nat-t 解决了IPSec多连的问题。 1 隧道协商过程中,IKE规定源和目的端口都必须为 UDP 500,在多VPN下源端口可能会在NAT后发生变化,再回包时认证失败。 2、数据传输过程中,由于ESP在工作在网络层,没有传输层头部,从而无法进行NAPT端口复用,导致 数据传输失败。 而nat-t也是专门为解决这两个问题而出现的 1nat-t协议运用在IPSec中,在IKE协商和VP...
NAT-T技术
weixin_51045259的博客
03-11 1754
传输模式下的隧道模式 ESP可以
IPSec 技术详解:原理、应用与配置实践
最新发布
zero_number的博客
03-12 1920
IPSec 是一组在网络层(OSI 模型第 3 层)为 IP 数据报提供安全保护的协议和服务集合。它由 IETF(互联网工程任务组)于 1995 年首次定义(RFC 1825-1829),并在后续演进中形成了当前标准(RFC 4301-4309)。IPSec 的核心目标是通过加密、完整性校验和身份验证,确保数据在不可信网络(如公共互联网)中的安全传输。与应用层安全(如 TLS/SSL)不同,IPSec 在网络层工作,能够保护所有基于 IP 的流量,而不仅是特定应用。
万能拆分脚本
山有山的高度,海有海的胸怀。
09-08 961
– author: dengyu – file: split_partyyyymm_char.sql – desc: 拆分文件命名格式yyyymm – order: desc – date:2015-09-08 – note: 该脚本只仅仅打印拆分脚本,并非执行 – version 2.0 dengyu 倒序拆分 自动判断分区值格式是number,date,charDECLARE
NAT穿越(NAT-T)原理
热门推荐
曹世宏的博客
09-16 3万+
IPSec NAT 穿越简介 IPSec NAT穿越的场景: 本质上解决ESP协议无法提供转换端口,插入UDP 4500端口 有以下两种场景,需要进行进行NAT穿越。 场景一、FW既做IPSEC网关,又做NAT转换 此种场景下,是当运营商给客户的动态分配的私网地址情况下,FW需要穿越运营商的nat。 IPSEC网关与NAT在同一台设备 ,如果运营商给分配的是公网地址,需要做NAT旁路(NAT豁...
Fortigate疑难杂症之 - IPSec传输大文件中断/其他异常中断
RaySun的技术Blog
08-03 1771
将IPSec两端的防火墙设备的IKE端口更改为非默认端口将IPSec两端的协商模式由主动模式改为野蛮模式。
华三F100 系列防火墙 - 浮动路由联动NQA 实现双线路自动切换
YU_QIng11的博客
12-28 3583
华三F100 系列防火墙 - 浮动路由联动NQA 实现双线路自动切换
LVS负载均衡群集部署—NAT
weixin_44112402的博客
06-14 820
Cluster,集群、群集,为解决某个特定的问题将多台计算机组合起来形成的单个系统由多台主机构成的一个整体,提供一个访问入口(IP或域名),集群中的多台主机都干一件事提供一样的服务。
HCIA笔记
weixin_45492087的博客
05-21 487
OSI ISO:国际标准化组织(International Organization for Standardization) OSI:开放式系统互联(Open System Interconnection) 七层模型: 控制(应用) 应用层:接受数据接口,人机接口,面向应用程序。(抽象语言->软件语言,编码) 表示层:翻译,(即时通讯需要在此)加密。(软件语言,编码->二进制语言) 会话层:针对每一种数据建立虚连接(区分流量)进行管理、维持和终止。(提供应用程序地址-无统一标准.
netvirt-浮动ip之流表实现分析
rtmdk的博客
09-25 2299
分析基于iptalbes和openflow的浮动ip功能实现
动态路由 华三nat 静态路由_H3CNE学习---静态路由、动态路由协议
weixin_39942400的博客
12-20 1128
一、路由1、路由的分类2、路由协议分类3、路由优先级4、负载分担对同一路由协议来说,允许配置多条目的地相同且开销也相同的路由。当到同一目的地的路由中,没有更高优先级的路由时,这几条路由都被采纳,在转发去往该目的地的报文时,依次通过各条路径发送,从而实现网络的负载分担。目前支持负载分担有静态路由/IPv6静态路由、RIP/RIPng、OSPF/OSPFv3、BGP/IPv6 BGP和IS-IS/IP...
防火墙基础之华为防火墙分支与分支IPSec 对接
晚风挽着浮云的博客
09-19 3835
原理概述:指采用来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
特别硬核的ike/ipsec NAT穿越机制分析
maimang1001的专栏
03-03 1975
[ipsec] 特别硬核的ike/ipsec NAT穿越机制分析 - toong - 博客园〇 前言 这怕是最后一篇关于IKE,IPSEC的文字了,因为不能没完没了。 所以,我一直在想这个标题该叫什么。总的来说可以将其概括为:IKE NAT穿越机制的分析。 但是,同时它也回答了以下问题: (https://www.cnblogs.com/hugetong/p/11482883.html The Classic Tong's Cave telegram: https://t.me/classic_tong
verilog学习——building block(1)
LXY241638的博客
04-14 769
一个模块(module)是实现特定功能的代码块,模块可以嵌入到其他模块中;模块声明在关键字module和endmodule后,模块名紧跟在关键字module中,还可以声明可选的端口列表,注意,端口声明列表中声明的端口不能在模块正文中重新声明。模块代表实现某些行为特征的设计单元,并将在综合过程中转换为数字电路。顶级模块是包含所有其他模块的模块,不会在其他任何模块中实例化;例如,设计模块通常在顶级测试台模块中实例化,以便通过提供输入激励来运行仿真模拟。
防火墙内网VPN设备的试验
m0_71483678的博客
07-26 852
需求:双机热备以主备模式,通过内网的VPN设备构建一条到达分公司的IPSEC VPN通道,保证办公区10.0.2.0/24网段可以访问到192.168.1.0/24网段 一、首先在FW1和FW3上做好双机热备的主备模式(FW1为主,FW3为备),如下图: 二、在FW1上配置安全策略,(1)放通隧道(放通源目udp500端口、目的UDP4500端口,放通esp协议),(2)放通VPN设备与办公区的所有流量,(3)放通从分公司网段到办公区网段的所有流量,如下: (1)放通隧道(放通源目
【隧道篇 / IPsec】(7.0) ❀ 05. 阻止IPsec安全隧道连接请求 ❀ FortiGat 防火墙
防火墙技术专栏
04-06 3836
在FortiGate设备上默认开放UDP 500端口,允许IPsec隧道连接。但是可能会导致安全漏洞和ISAKMP DOS攻击。ISAKMP DOS攻击会破坏预共享密钥(如果VPN采用激进模式配置),多个请求会导致CPU过载,最终填满所需的缓冲区空间。...
IPsec协议过程
City_of_skey的博客
01-23 1万+
版权声明:如有需要,可供转载,但请注明出处:https://blog.csdn.net/City_of_skey/article/details/86618784 1、ipsec协议简介 IPSec是在网络层构建的安全虚拟专有网络,通过在数据包中插入一些预定义的头部,实现对网络层以上的协议数据安全。不同于ssl应用层的加密。IPSec内核加密支持的库是xfrm。 ipsec安全体系 ...
锐捷网络——IPSec NAT的问题探讨:IPSEC与NAT的兼容性问题
君逍遥o
09-08 640
IKE使用的源目端口都是UDP 500,如果存在端口转换的情况,IKE的源端口可能被改变,这样如果响应者判断该端口不是UDP 500的话,就可能存在IPSEC第一阶段协商不通过的问题。
防火墙——IKE(IPSec2)
m0_49864110的博客
05-17 1万+
IKE基本概念 IKE安全机制 身份认证 身份保护 DH密钥分发算法 PFS IKEv1协商安全联盟 阶段1——协商IKE SA建立安全通道 阶段2——利用安全通道协商IPSec SA IKEv1中DH算法生成密钥、IKE安全提议中的算法、IPSec安全提议中算法之间的关系 IKEv2协商安全联盟的过程 IKEv2定义了三种交换 ISAKMP报文 UDP头部 ISAKMP头部 IKEv1和IKEv2之间的区别 查看IKE隧道建立情况
端口映射 NAS下载软件
01-24
### 配置NAS设备上的端口映射以实现下载软件功能 为了使外部网络能够访问家庭内部的NAS并执行诸如添加下载任务等功能,需要通过路由器配置端口转发或端口映射。以下是具体的操作指南: #### 设置固定IP地址 确保NAS拥有固定的局域网内IP地址是必要的前提条件之一。这可以通过调整路由器中的DHCP服务来完成,指定特定MAC地址对应的静态IP分配[^3]。 ```bash # 路由器设置页面中找到DHCP选项卡下的静态地址池或者保留列表, # 输入NAS MAC地址及其期望获得的固定IPv4地址。 ``` #### 启用路由器端口转发 登录到家用路由器管理界面后,定位至虚拟服务器/NAT/QoS等相关菜单项下寻找端口映射/转发条目。对于大多数情况而言,需开放如下常用TCP端口号以便于不同类型的文件传输协议运作正常: - BitTorrent 下载客户端监听范围内的任意未被占用整数(例如51413) 创建新的规则时应指明目标主机即上述已设定好的NAS IP,并确认保存更改生效[^1]。 #### 动态域名解析(DNS)服务选型建议 考虑到住宅宽带可能不具备恒定不变的WAN侧出口参数特征——也就是常说的“浮动公网IP”,因此选用DynDNS或其他第三方提供的DDNS方案不失为一种明智之举;相比之下官方渠道提供的同类特性往往存在响应速度方面不尽如意之处。 #### 测试连通性 最后一步是要验证整个过程是否成功实施。可以从互联网任一位置尝试Ping命令探测或是利用浏览器直接输入http://yourdomain.com:portnumber这样的URL字符串去检验Web控制面板能否顺利加载显示出来。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叨陪鲤

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值