有关windows Gateway Ipsec 和NAT 兼容性问题

最新推荐文章于 2022-02-07 18:56:56 发布
最新推荐文章于 2022-02-07 18:56:56 发布
阅读量1.6k 收藏
点赞数
分类专栏: C++ 文章标签: NAT IPSEC tunnel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzy198852/article/details/32315819
版权

1、简单通信拓扑:

 将Windows 平台 作为一个网关,同时开启IPsec 和NAT来支持private和public的通信。

注意:IPSEC Gateway  和 Client1 Ipsec 之间没有存在NAT ,否则是另外一种情况,和本文描述无关。本文只是工作笔记,不代表任何官方声明。


2、现象描述:

       a. Enable NAT,but  Disbale Ipsec .   

           ping from 11.11.11.45  to 10.10.10.20              OK!

       b. Enable Ipsec Tunnel ,Disable NAT

          ping from 11.11.11.45  to 10.10.10.20             OK!

       c. Enable NAT and ipsec tunnel

          ping from 11.11.11.45 to 10.10.10.20             fail.

 

       收到这个bug的时候,我以为是客户网络存在问题。因为 NAT 和Ipsec 都是非常成熟的module。但是这个bug确实被我重现了,所以开始了大量的源代码跟踪和调式。


3、结果:

      经过大量的代码分析,这是个 兼容性bug。但是仅仅影响ICMP数据包。结果测试,TCP 和UDP 数据包不会收到影响,可以正常通信。所以各位Windows 用户注意:如果 上述网络环境,客户端ping不同网关,并不是网络原因,除了ICMP数据外,其他协议的通讯不受影响。


4、原因简述:

     具体原因涉及源代码,不在阐述。




 





C_peter
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IPsecNAT 的冲突问题详解
yeasy的专栏
03-25 1万+
背景 IPsec 协议可以用来在 IP 层提供校验和加密等安全特性。基于 IPsec 的 VPN 已经成为 site-site 模式下高可靠连通方案的首选。 NAT 最初是为了解决地址不足的问题,它将 NAT 网关后的实际地址隐藏起来,对外呈现一个外部地址,通常包括基于地址的映射(设备负责将内外地址进行对应和替换)和基于端口(通常外部为同一地址,根据到达端口的不同替换为内部不同的地址和
win2008 防火墙 ipsec策略 路由和远程访问nat映射
weixin_34038652的博客
01-13 486
Windows Server 2008 R2防火墙是一款基于主机的状态防火墙,它结合了主机防火墙和IPSec,可以对穿过网络边界防火墙和发自企业内部的网络***进行防护,可以说基于主机的防火墙是网络边界防火墙的一个有益的补充。 网络位置  第一次连接到网络时,必须选择网络位置。这将为所连接网络的类型自动设置适当的防火墙和安全设置。如果用户在不同的位置(例如,家庭、本地咖啡店或...
IPSecNAT网关内部多个连接的支持
redwingz的博客
12-05 1756
以下根据strongswan代码中的testing/tests/ikev2/nat-rw-mark/中的测试环境,在安全连接的两个节点之间存在NAT网关的情况,并且在安全网关上对外部连接的端点地址在访问内部网络之前,执行SNAT操作,适用于外部的分支使用与总部不同网段地址的情况。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟网关moon和sun。 sun网关配置 sun的配置文件:/etc/ip...
【逗老师的小技巧】我算是把Windows IPSec L2TP的问题玩明白了
逗老师的博客
02-07 1万+
关于这个问题! 网上一顿文章瞎叽霸写的都是些什么叽霸玩意! 如果你是自己搭建的IPSec L2TP服务器,而且你又在其他地方折腾了半天Windows连接L2TP的问题,那么这篇文章适合你! 今天,我们来好好说说Windows下的L2TP over IPSec的各种问题。 目前看来,默认配置下,几乎所有的windows都无法顺利连接L2TP over ipsec,解决Windows连接L2TP有两种方案, 方案一:直接禁用ipsec协商 方案二:允许L2TP唤醒ipsec,同时修改ipsec协商参数 网
tp5.1+GatewayWorker 修复GatewayWorker在windows启动问题
08-18
命令php think worker:gatewaywindows下运行提示GatewayWorker Not Support On Windows. 更改为自定义TP命令行启动要打开三个命令窗口启动,不方便测试。根据GatewayWorker-for-win提供的demo修改的 本资源依赖...
详解SpringCloudGateway内存泄漏问题
08-18
主要介绍了详解SpringCloudGateway内存泄漏问题,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
nf_nat_snmp_basic.rar_gateway
09-24
Basic SNMP Application Layer Gateway.
gateway和jwt网关认证实现过程解析
08-25
主要介绍了gateway和jwt网关认证实现过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SSH隧道远程端口转发配置方法
zhaojw92518的博客
03-15 1347
A机器处于在层层NAT之下的内网;B机器拥有公网IP(称为IpB),可以被任意机器直接访问;A机器希望将本地端口PortA映射到B机器的端口PortB上,使得任何人访问B机器PortB端口等效于访问A机器的PortA端口。
IPSec ×××基本原理(图解)
weixin_33768481的博客
09-05 1913
IPSec ×××是目前×××技术中点击率非常高的一种技术,同时提供×××和信息加密两项技术,这一期专栏就来介绍一下IPSec ×××的原理。IPSec ×××应用场景 IPSec ×××的应用场景分为3种:1.Site-to-Site(站点到站点或者网关到网关):如弯曲评论的3个机构分布在互联网的3个不同的地方,各使用一个商务领航网关相互建立×××隧道,企业内网(若干PC)...
技术点详解---IPSec穿越NAT
bytxl的专栏
10-16 2万+
IPSecNAT环境中的部署是VPN的热门难点技术之一,本专栏针对该问题进行原理性探讨,为后续VPN部署方案做下铺垫。 IPSec VPN穿越NAT会遇到哪些问题 IPSec VPN穿越NAT遇到的问题主要有2个: 1.   穿越NAT后的身份确认:在IP网络中IP地址是最好的身份标识,IPSec VPN中标准身份标识也是IP地址,如上图所示,从前几期专栏的介绍中我们可以得知,NAT
Win10 L2TP/IPsec
jiandke的专栏
06-23 1万+
开始,运行, services.msc , 保证Routing and Remote Access 服务处于正在运行状态。 错误一:无法建立计算机与VPN服务器之间的网络连接... L2TP需要IPSec加密,如果远程服务器无响应,说明IPSec加密未启用,需要在注册表启用它,具体步骤如下: 1、Win+R调出运行菜单,输入regedit,回车 2、找到:HKEY_LOCAL_MA...
IPSECnat环境中如何应用
mazhen的博客
08-20 6184
使用模板方式可以在总舵与公网IP不固定的分舵之间建立IPSec隧道。至此,无论是拥有固定公网IP的分舵还是动态获得公网IP的分舵,都可以通过IPSec安全地访问总舵,天地会业务兴隆一片祥和。 但Internet的江湖远非如此平静,天地会又面临新的问题。有的分舵连动态的公网IP都没有,只能先由网络中的NAT设备进行地址转换,然后才能访问Internet,此时分舵能否正常访问总舵?另外,分舵除了访问
gif 格式图片详细解析
热门推荐
12-11 5万+
1.概述 ~~~~~~~~   GIF(Graphics Interchange Format,图形交换格式)文件是由 CompuServe公司开发的图形文件格式,版权所有,任何商业目的使用均须 CompuServe公司授权。   GIF图象是基于颜色列表的(存储的数据是该点的颜色对应于颜色列表的索引值),最多只支持8位(256色)。GIF文件内部分成许多存储块,用来存储多幅图象或者是决
TCHAR 转换 string
02-26 3万+
刚才用到了这个变量的转换,想着写个函数吧,但是手懒了一下!直接问度娘了!一问让我大吃一惊,百度出来的转换函数几乎如出一辙,肯定是一个人发,其他人copy的,但是copy的人,可真够牛逼!一个根本无法使用的函数,愣是大义凛然的放在那里?这不得不让我想到了一个问题,前几天有人问我,小甲:“为啥同样工作3年的程序猿,别人都1.3W以上了,但是我还是7K?”。当时我说了句“这个得问你自己”。其实我当时也没
微软面试心得总结
05-05 2万+
当我接到微软HR电话的,甚是欣喜!~毕竟在无数的developer中能够选到我的简历(未投简历,HR说是智联上看到的!)。约好了第二天面试,我就马不停蹄的准备。传说中微软所有的笔试、面试都是考察算法,所以我也做了很多准备。   笔试: 到达微软中国研究院的时候,由bony(美女,后来知道是个PM)带我上去,然后就开始做笔试题,笔试题时间1个小时,全部是英文,最后两道是算法编程题,而且注明了必
aws nat gateway
最新发布
05-18
AWS NAT Gateway是一种托管的网络地址转换(NAT)服务,可使私有子网中的实例通过Internet访问外部资源,而无需暴露它们的公共IP地址。NAT网关在您的VPC中运行,它会自动缩放以满足流量需求,并提供高可用性。使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值