我们的一个客户正在私有网络地址范围内建立一个 ISA-Cluster,我们必须与他们建立 VPN 连接。没有办法避免 NAT-T,这就是我们遇到问题的地方:
在 IKE 请求中有一个 ENCAPSULATION_MODE 字段,如果您按照书本 (RFC3947) 进行,则 NAT-T 的值应该为 3。
然而 Ciscos 和 Microsoft ISA 似乎仍然发送 OpenBSD 接受的 61443 的历史值(宽容,好)。但是 - 没有办法让 OpenBSD 发送 ENCAPSULATION_MODE = 61443 的请求,并且 Microsoft ISA 拒绝了“标准”值 3。
有谁知道解决这个问题?
很高兴听到 MS ISA 的补丁允许它接受“3”...
更新:“另一边”有 MS ISA 2006 Enterprise。“我们这边”有 OpenBSD 4.5。
解决方案是在 OpenBSD 端手动配置 VPN 连接(isakmpd.conf 而不是 ipsec.conf),并在快速模式自定义转换定义中使用 ENCAPSULATION_MODE=UDP_ENCAP_TUNNEL_DRAFT。
万岁的可配置性!