VPN com NAT-T entre o OpenBSD e o Microsoft ISA

2

Um cliente nosso está configurando um ISA-Cluster no intervalo de endereços de rede privada e temos que construir uma conexão VPN com eles. Não há como evitar NAT-T e é aí que chegamos a um problema:

na requisição IKE existe um campo ENCAPSULATION_MODE onde deve ser um valor de 3 para NAT-T se você for pelo livro (RFC3947) .

No entanto Ciscos e parece Microsoft ISA ainda enviar valor histórico de 61443 que é aceito pelo OpenBSD (tolerante, bom). Mas - não há como fazer o OpenBSD enviar um pedido com ENCAPSULATION_MODE = 61443 e o valor "padrão" 3 é rejeitado pelo Microsoft ISA.

Alguém conhece uma solução para isso?

Seria bom saber de um patch para o MS ISA permitindo que ele aceite o "3" ...

Atualização: "O outro lado" tem o MS ISA 2006 Enterprise. "Nosso lado" tem o OpenBSD 4.5.

    
por slovon 31.08.2009 / 12:36

1 resposta

1

A solução foi configurar manualmente a conexão VPN no lado do OpenBSD (isakmpd.conf em vez de ipsec.conf) e usar ENCAPSULATION_MODE = UDP_ENCAP_TUNNEL_DRAFT na definição de transformação personalizada no modo rápido.

Hooray para configurabilidade!

    
por 01.09.2009 / 15:18