ISP 可以做些什麼來阻止 IPSEC 流量？

每隔一段時間，我們就會遇到無法讓 IPSEC VPN 隧道正常工作的問題。有時我們知道地方當局限制使用 IPSEC（例如孟加拉國），並且必須獲得某種豁免。其他時候，ISP 改變了一些東西並且連接斷開（例如海地）。

我認為有很多事情可能會阻止 IPSEC 工作。例如，阻止 UDP 埠 500 會阻止 IKE。

與其尋找特定問題的解決方案，任何人都可以列出 ISP 可能會採取哪些不同措施來阻止 IPSEC 流量，無論是有意還是無意？

這個問題的答案將有助於故障排除，同時也讓 ISP 知道當我們無法啟動我們的 VPN 時他們需要修復哪些具體問題！

根據IPsec 虛擬專用網路基礎的第 4 章，以下架構問題可能會中斷 IPsec 流量：

• 防火牆不允許所需的協議

  • ISAKMP（埠 500）
  • ESP（IP 協議 50）
  • 啊（IP 協議 51）

• 防火牆（或路由器）不處理分段的 IPsec 數據包，例如

  • 不回复 ICMP-Unreachable 數據包 - 破壞路徑 MTU 檢測

其中一些事情可能是由於 ISP 引入了預設執行上述操作之一的新設備（阻止 ICMP-Unreachable 似乎很可能是預設設置）。他們可能沒有意識到他們需要解決這些問題才能支持使用 IPSEC 的客戶——而且這可能不會影響他們的所有客戶。

引用自：https://serverfault.com/questions/283083