Eu entendo porque não é possível usar o IPSec AH em um servidor NAT, já que o cabeçalho IP também está incluído no MAC. Mas eu estou confuso sobre ESP com autenticação (estou falando sobre o modo de túnel, mas suponho que não há diferença para o modo de transporte)
O que recebi de esta explicação é que a autenticação no ESP Autentica o ESP + Payload, incluindo o cabeçalho IP original, mas nenhum campo do cabeçalho IP "novo" é usado para chegar ao outro ponto final do IPSec.
Então, por que é um problema se o endereço de origem está mudando?
Eu supus, talvez seja devido à mudança da porta de origem, mas a porta de origem é criptografada, então este não será o problema. Isso me leva a uma outra possibilidade, que simplesmente não é possível para NAT, como um pacote porque não há porta no meu IP ou cabeçalho ESP - é essa a razão?
Obrigado
This lead me to a other possibility, that it is simply not possible to NAT such a packet because there is no port in my IP or ESP header - is that the reason?
Sim, essa é definitivamente uma das razões, especialmente com vários hosts IPsec por trás do mesmo dispositivo NAT. Por favor leia RFC 3715 (Requisitos de Compatibilidade da Tradução de Endereços de Rede IPsec (NAT)) para uma descrição do impacto potencial que a NAT pode ter em conexões IPsec.