Eu tive um problema persistente ao estabelecer a fase 1 de um túnel IPsec que estou iniciando de um ponto de extremidade no meu site para um fornecedor.
É uma configuração estranha e não tenho certeza se NAT-T deve ser ativado para que funcione.
O IP de origem dos pacotes IPsec ao percorrer "a nuvem" é um endereço público.
== dois pacotes IPsec são NATed
Não está claro (infelizmente cego para mim), para ver se o firewall está realmente NATing os pacotes, ou realmente atribuir o endereço de origem quando os pacotes estão sendo gerados. [sim, eu realmente não consigo ver]
Em que circunstâncias é necessário NAT-T por um túnel IPsec para que seja estabelecido?
É necessário na situação descrita acima?
Espero testar, mas o fornecedor é resistente.
Obrigado,
Matt
O NAT-T seria necessário nessa situação, já que você está usando o NAT. Se NAT-T não é usado, os pacotes IPSec são modificados em trânsito durante o processo NAT, o que os invalida. Enquanto o NAT-T é usado, os pacotes IPSec são encapsulados em pacotes UDP, preservando os pacotes originais.