Vpn

ISP 可以做些什麼來阻止 IPSEC 流量?

  • September 20, 2011

每隔一段時間,我們就會遇到無法讓 IPSEC VPN 隧道正常工作的問題。有時我們知道地方當局限制使用 IPSEC(例如孟加拉國),並且必須獲得某種豁免。其他時候,ISP 改變了一些東西並且連接斷開(例如海地)。

我認為有很多事情可能會阻止 IPSEC 工作。例如,阻止 UDP 埠 500 會阻止 IKE。

與其尋找特定問題的解決方案,任何人都可以列出 ISP 可能會採取哪些不同措施來阻止 IPSEC 流量,無論是有意還是無意?

這個問題的答案將有助於故障排除,同時也讓 ISP 知道當我們無法啟動我們的 VPN 時他們需要修復哪些具體問題!

根據IPsec 虛擬專用網路基礎的第 4 章,以下架構問題可能會中斷 IPsec 流量:

  • 防火牆不允許所需的協議

    • ISAKMP(埠 500)
    • ESP(IP 協議 50)
    • 啊(IP 協議 51)
  • 防火牆(或路由器)不處理分段的 IPsec 數據包,例如

    • 不回复 ICMP-Unreachable 數據包 - 破壞路徑 MTU 檢測

其中一些事情可能是由於 ISP 引入了預設執行上述操作之一的新設備(阻止 ICMP-Unreachable 似乎很可能是預設設置)。他們可能沒有意識到他們需要解決這些問題才能支持使用 IPSEC 的客戶——而且這可能不會影響他們的所有客戶。

引用自:https://serverfault.com/questions/283083