IPSEC 隧道是否為流量建立新會話?
背景
AT&T 商業光纖基本上更名為 U-Verse 家庭網際網路。“調製解調器”(它實際上是一個路由器,但為了簡單起見,我們稱之為)具有大約 8K 會話的硬限制。即使調製解調器處於級聯路由器模式(類似於其他設備中的橋接模式),調製解調器仍會跟踪 TCP 會話,並且在達到限制時不會允許新會話。AT&T 的回答基本上是當使用者超出他們的小型商業計劃並需要升級到企業光纖時,就會出現這個問題,對於相同的速度來說,企業光纖的成本要高幾個數量級。對於一個非常小的辦公室來說,這似乎很愚蠢。考慮到我在網上找到的所有關於這個可以追溯到 3 年多的文章,我懷疑 AT&T 是否急於修復它。
還有一些記錄在案的黑客使用路由器繞過調製解調器,但我非常膽怯地向企業推荐一些不穩定的東西。他們將需要一個長期可支持的解決方案。我很驚訝沒有圍繞 VPN 的想法進行任何討論,所以我在這裡。
正在探索更改 ISP,但 ISP 選項非常有限。
問題
如果客戶端提供連接到 IPSEC 站點到站點 VPN 隧道的調製解調器下游的路由器,並將所有流量路由到隧道的另一端,調製解調器是否能夠觀察多個會話?隧道是否將所有流量都包含在它自己建立的會話中?由於 IPSEC 在比 TCP 更高的級別上執行,每個新會話是否都是剛剛加密的 WAN 上的新會話?
指向描述該問題的其他人的連結
https://www.reddit.com/r/sysadmin/comments/74qu5s/isp_nat_sessions_limit/
http://solderthoughts.com/2017/06/growing-pains-att-gigabit-fiber/
IPsec 是一個協議套件,在這裡我們更具體地討論隧道模式下的**IP 封裝安全有效負載(ESP) 。相關細節在RFC 4303, 3.1.2 Tunnel Mode Processing:
在隧道模式中,“內部”IP 報頭攜帶最終(IP)源地址和目的地地址,而“外部”IP 報頭包含 IPsec“對等方”的地址,例如安全網關的地址。
在隧道模式下,ESP 保護整個內部 IP 數據包,包括整個內部 IP 報頭。- - 下圖說明了典型 IPv4 和 IPv6 數據包的 ESP 隧道模式定位。
----------------------------------------------------------- IPv4 | new IP hdr* | | orig IP hdr* | | | ESP | ESP| |(any options)| ESP | (any options) |TCP|Data|Trailer| ICV| ----------------------------------------------------------- |<--------- encryption --------->| |<------------- integrity ------------>| ------------------------------------------------------------ IPv6 | new* |new ext | | orig*|orig ext | | | ESP | ESP| |IP hdr| hdrs* |ESP|IP hdr| hdrs * |TCP|Data|Trailer| ICV| ------------------------------------------------------------ |<--------- encryption ---------->| |<------------ integrity ------------>|由於在隧道模式下,原始 IP 報頭和傳輸層報頭(不一定是 TCP)都是加密的,因此 ISP 只能看到 IPsec 對等方和 ESP 報頭的新 IP 報頭。因此,在隧道之外,不可能知道原始報頭上有多少
IP:port對。(雖然 TCP 確實有以 開頭SYN, SYN-ACK, ACK和結尾的FIN, FIN-ACK, ACK會話,但 UDP“會話”只能根據兩端相同的 IP 地址和 UDP 埠來猜測。因此,將 UDP 連接計為活動會話涉及添加人為的連接超時。)但是,限制並發會話的數量並不是 ISP 唯一可以讓您為用於商業用途的連接支付更多費用的事情。可以檢測和阻止 IPsec VPN 隧道。由於外部 IP 標頭(也不是 ESP 標頭)未加密,因此可以完全丟棄具有協議號 50 (ESP) 或 51(AH、 Authentication Header、RFC 4302 )的 IP 數據包。對此的法律方面將是一項*服務條款,*該條款規定不允許使用站點到站點的 VPN。