背景
AT&T 商业光纤基本上更名为 U-Verse 家庭互联网。“调制解调器”(它实际上是一个路由器,但为了简单起见,我们称之为)具有大约 8K 会话的硬限制。即使调制解调器处于级联路由器模式(类似于其他设备中的桥接模式),调制解调器仍会跟踪 TCP 会话,并且在达到限制时不会允许新会话。AT&T 的回答基本上是当用户超出他们的小型商业计划并需要升级到企业光纤时,就会出现这个问题,对于相同的速度来说,企业光纤的成本要高几个数量级。对于一个非常小的办公室来说,这似乎很愚蠢。考虑到我在网上找到的所有关于这个可以追溯到 3 年多的帖子,我怀疑 AT&T 是否急于修复它。
还有一些记录在案的黑客使用路由器绕过调制解调器,但我非常胆怯地向企业推荐一些不稳定的东西。他们将需要一个长期可支持的解决方案。我很惊讶没有围绕 VPN 的想法进行任何讨论,所以我在这里。
正在探索更改 ISP,但 ISP 选项非常有限。
问题
如果客户端提供连接到 IPSEC 站点到站点 VPN 隧道的调制解调器下游的路由器,并将所有流量路由到隧道的另一端,调制解调器是否能够观察多个会话?隧道是否将所有流量都包含在它自己建立的会话中?由于 IPSEC 在比 TCP 更高的级别上运行,每个新会话是否都是刚刚加密的 WAN 上的新会话?
指向描述该问题的其他人的链接
https://www.reddit.com/r/sysadmin/comments/74qu5s/isp_nat_sessions_limit/
http://solderthoughts.com/2017/06/growth-pains-att-gigabit-fiber/
IPsec 是一个协议套件,在这里我们更具体地讨论隧道模式下的IP 封装安全有效负载(ESP) 。相关细节在RFC 4303, 3.1.2 Tunnel Mode Processing:
由于在隧道模式下,原始 IP 报头和传输层报头(不一定是 TCP)都是加密的,因此 ISP 只能看到 IPsec 对等方和 ESP 报头的新 IP 报头。因此,在隧道之外,不可能知道原始报头上有多少
IP:port对。(虽然 TCP 确实有以 开头SYN, SYN-ACK, ACK和结尾的FIN, FIN-ACK, ACK会话,但 UDP“会话”只能根据两端相同的 IP 地址和 UDP 端口来猜测。因此,将 UDP 连接计为活动会话涉及添加人为的连接超时。)但是,限制并发会话的数量并不是 ISP 唯一可以让您为用于商业用途的连接支付更多费用的事情。可以检测和阻止 IPsec VPN 隧道。由于外部 IP 标头(也不是 ESP 标头)未加密,因此可以完全丢弃具有协议号 50 (ESP) 或 51(AH、 Authentication Header、RFC 4302 )的 IP 数据包。对此的法律方面将是一项服务条款,该条款规定不允许使用站点到站点的 VPN。
不会。两个 IPSec 端点之间的所有流量都经过加密。观察者看不到隧道内的会话或任何其他内容。