Назад | Перейти на главную страницу

Что может сделать интернет-провайдер, чтобы заблокировать трафик IPSEC?

Время от времени мы сталкиваемся с проблемой, когда не можем заставить работать туннель IPSEC VPN. Иногда мы знаем, что местные власти ограничивают использование IPSEC (например, Бангладеш) и должны получить какое-то исключение. В других случаях интернет-провайдер что-то меняет и соединение обрывается (например, Гаити).

Я предполагаю, что существует множество вещей, которые могут помешать работе IPSEC. Например, блокировка порта UDP 500 предотвратит IKE.

Вместо того, чтобы искать решение конкретной проблемы, может ли кто-нибудь дать список того, что может сделать провайдер для блокировки трафика IPSEC, намеренно или случайно?

Ответ на этот вопрос будет полезен при устранении неполадок, но также позволит интернет-провайдерам узнать, какие конкретные вещи им нужно исправить, когда мы не можем запустить нашу VPN!

Опираясь на Глава 4 Основы виртуальных частных сетей IPsec Следующие архитектурные проблемы могут нарушить трафик IPsec:

  • Брандмауэр не разрешает требуемые протоколы
    • ISAKMP (порт 500)
    • ESP (протокол IP 50)
    • AH (протокол IP 51)
  • Брандмауэр (или маршрутизатор) не обрабатывает фрагментированные пакеты IPsec, такие как
    • не отвечает на пакеты ICMP-Unreachable - нарушение определения MTU пути

Некоторые из этих вещей могут возникнуть в результате того, что интернет-провайдер представляет новое оборудование, которое по умолчанию выполняет одно из вышеперечисленных (блокировка ICMP-Unreachable кажется вполне вероятной настройкой по умолчанию). Они могут не осознавать, что им необходимо решать такие проблемы, чтобы поддерживать своих клиентов, использующих IPSEC, и это может не повлиять на всех их клиентов.

На этот «вопрос» мы действительно мало что можем сделать - они могут блокировать IKE, они могут блокировать L2TP / GRE / другие протоколы туннелирования, они могут блокировать любой пакет, который выглядит так, как будто он может использовать ESP / AH и т. Д.

- Исчерпывающий список возможных поломок (обычно) бесконечен: без подробностей о том, как настроены ваши VPN, и конкретной поломки для устранения неполадок практически невозможно дать вам гораздо больше подробностей, чем указано выше, хотя я уверен, что другие может перечислить конкретные поломки, с которыми они столкнулись, и способы их устранения ...