IPSec - 网关的 NAT-T 内部/外部 IP?

网络工程 纳特 ipsec
2022-02-25 07:03:45

我正在配置一个 IPSec VPN,但不知何故我无法弄清楚我的网关的内部/外部 IP 是什么。

看看这张图片: NAT-T IPSec 假设我有我的站点到站点 VPN,我的网关的 IP 为 192.168.0.1。该 IP 被我们的防火墙 NAT 转换为公共 IP。

如果我在 VPN 后面有一个客户端,比如 IP 172.16.0.1,我知道内部 IP 是 172.16.0.1,外部 IP 是 192.168.0.1,然后会进行 NAT。

但是,如果是我的 IPSec 网关试图向另一个 IPSec 网关后面的主机发送数据包怎么办?什么是内部/外部 IP?它会是相同 IP 的两倍,即内部 192.168.0.1 和外部 192.168.0.1 吗?

2个回答

这取决于与其他 IPsec 网关协商的 IPsec 策略。为了真正能够从 192.168.0.1 传输流量,必须有一个匹配的 IPsec 策略。如果仅协商 172.16.0.0/24 和远程子网之间的策略,则服务器无法通过隧道传输来自 192.168.0.1 的流量,它必须使用 172.16.0.0/24 子网中的 IP 地址(假设它有一个)。如果协商了两个地址的 IPsec 策略,则取决于网关用于将流量发送到远程子网的源地址选择(路由表等)。

理论上,是的,内部源 IP 和外部源 IP 都是 192.168.0.1。

在实践中,它是否会尝试从它用作隧道源 IP 的同一源隧道传输流量取决于操作系统和实现。

其它你可能感兴趣的问题
上一篇如何在网络流量中添加热插拔功能? 下一篇4000平方英尺办公室的Wi-Fi网络设置建议