Назад | Перейти на главную страницу

VPN с NAT-T между OpenBSD и Microsoft ISA

Наш клиент настраивает ISA-кластер в диапазоне адресов частной сети, и мы должны создать с ним VPN-соединение. Невозможно избежать NAT-T, и вот где мы подходим к проблеме:

в запросе IKE есть поле ENCAPSULATION_MODE, где есть должно быть значение 3 для NAT-T, если вы следуете книге (RFC3947).

Однако Ciscos и, похоже, Microsoft ISA по-прежнему отправляют историческое значение 61443, которое принимается OpenBSD (терпимо, хорошо). Но - нет способа заставить OpenBSD отправлять запрос с ENCAPSULATION_MODE = 61443, а «стандартное» значение 3 отклоняется Microsoft ISA.

Кто-нибудь знает решение этого?

Было бы неплохо услышать о патче для MS ISA, позволяющем принимать "3" ...

Обновление: «Другая сторона» имеет MS ISA 2006 Enterprise. «Наша сторона» имеет OpenBSD 4.5.

Решение заключалось в том, чтобы полностью вручную настроить VPN-соединение на стороне OpenBSD (isakmpd.conf вместо ipsec.conf) и использовать ENCAPSULATION_MODE = UDP_ENCAP_TUNNEL_DRAFT в быстром режиме определения настраиваемого преобразования.

Ура настраиваемости!