A solução foi configurar manualmente a conexão VPN no lado do OpenBSD (isakmpd.conf em vez de ipsec.conf) e usar ENCAPSULATION_MODE = UDP_ENCAP_TUNNEL_DRAFT na definição de transformação personalizada no modo rápido.
Hooray para configurabilidade!
Um cliente nosso está configurando um ISA-Cluster no intervalo de endereços de rede privada e temos que construir uma conexão VPN com eles. Não há como evitar NAT-T e é aí que chegamos a um problema:
na requisição IKE existe um campo ENCAPSULATION_MODE onde deve ser um valor de 3 para NAT-T se você for pelo livro (RFC3947) .
No entanto Ciscos e parece Microsoft ISA ainda enviar valor histórico de 61443 que é aceito pelo OpenBSD (tolerante, bom). Mas - não há como fazer o OpenBSD enviar um pedido com ENCAPSULATION_MODE = 61443 e o valor "padrão" 3 é rejeitado pelo Microsoft ISA.
Alguém conhece uma solução para isso?
Seria bom saber de um patch para o MS ISA permitindo que ele aceite o "3" ...
Atualização: "O outro lado" tem o MS ISA 2006 Enterprise. "Nosso lado" tem o OpenBSD 4.5.
Tags vpn openbsd cisco-vpn isa-server