Наш клиент настраивает ISA-кластер в диапазоне адресов частной сети, и мы должны создать с ним VPN-соединение. Невозможно избежать NAT-T, и вот где мы подходим к проблеме:
в запросе IKE есть поле ENCAPSULATION_MODE, где есть должно быть значение 3 для NAT-T, если вы следуете книге (RFC3947).
Однако Ciscos и, похоже, Microsoft ISA по-прежнему отправляют историческое значение 61443, которое принимается OpenBSD (терпимо, хорошо). Но - нет способа заставить OpenBSD отправлять запрос с ENCAPSULATION_MODE = 61443, а «стандартное» значение 3 отклоняется Microsoft ISA.
Кто-нибудь знает решение этого?
Было бы неплохо услышать о патче для MS ISA, позволяющем принимать "3" ...
Обновление: «Другая сторона» имеет MS ISA 2006 Enterprise. «Наша сторона» имеет OpenBSD 4.5.
Решение заключалось в том, чтобы полностью вручную настроить VPN-соединение на стороне OpenBSD (isakmpd.conf вместо ipsec.conf) и использовать ENCAPSULATION_MODE = UDP_ENCAP_TUNNEL_DRAFT в быстром режиме определения настраиваемого преобразования.
Ура настраиваемости!