У меня есть сервер, который меняет туннели ssh на вторичный сервер. Вторичный сервер затем действует как «мост» к внутреннему серверу (IP-адрес внешнего сервера - это то, к чему я подключаюсь).
Это отлично работает для большинства служб (файлов, ssh и т. Д.), Но не работает для L2TP VPN. Я туннелировал порты 500 и 4500. Но что меня сбило с толку, так это «значение ESP 50», которое, по-видимому, требуется для L2TP. Как мне выполнить туннелирование для завершения пути данных VPN?
Или, если проблема не в этом, почему VPN не подключается через обратный туннель?
Инкапсулирующий протокол безопасности (ESP) - это IP-протокол 50. Он имеет собственный номер протокола, как и ICMP, TCP и UDP, и, возможно, является правильным протоколом для использования в зашифрованных туннелях.
Однако, хотя TCP и UDP имеют как IP-адреса, так и номера портов, связанные как с источником, так и с местом назначения, ICMP и ESP этого не делают. Именно комбинация портов и адресов делает NAT и туннелирование практичными; без них очень сложно справиться с трафиком.
Проблема в том, что когда устройство туннелирования (или NAT) имеет два или более входных потока UDP для передачи на одну конечную точку, а ответы возвращаются от этой конечной точки на устройство туннелирования, номера портов источника могут использоваться для устранения неоднозначности. два потока. В случае ESP нет номера порта, который мог бы служить средством устранения неоднозначности, поэтому конечной точке туннелирования трудно узнать, к какому из нескольких источников ESP следует туннелировать ответ ESP.
IPSec, который по умолчанию также использует ESP, некоторое время назад кодифицировал расширения NAT-traversal, которые вместо этого используют UDP / 4500. Я не знаю, есть ли у L2TP такой режим, и, боюсь, без него вы не сможете делать то, что хотите.
Надеюсь, я ошибаюсь в этом, и что кто-то другой придет и опубликует лучший ответ. Но в отсутствие этого я подумал, что должен хотя бы попытаться объяснить, что такое ESP, и почему это туннельная головная боль.