是否可以在没有端口转发的情况下在 NAT 后面设置 IPsec?

网络工程 虚拟专用网 联网 ipsec pfsense-2
2022-02-24 11:27:27

我们希望在客户站点和我们的办公室之间建立 IPsec 连接,以便我们可以管理我们放置在客户站点的硬件(例如屏障)。VPN 连接始终保持畅通非常重要。

我们更愿意通过在客户网络中放置一块支持 IPsec 的硬件(可能是路由器,在大多数情况下已经可用)来实现这一点。我们需要为客户管理的设备将放置在此路由器后面。路由器应该设置到我们办公室的 IPsec 连接。

不幸的是,我们并不总是能够控制客户网络,因此我们并不总是能够转发端口。此外,并非所有客户在端口转发方面都是合作的。

是否可以配置 IPsec 使其无需在客户端进行端口转发即可运行?(例如 OpenVPN 所做的)

在我们的办公室,我们使用 pfSense 作为 IPsec 服务器,在许多情况下,在客户站点已经可以使用 Edgerouter X 设备。在新安装中,即使我认为解决方案更多地是在 IPsec 的配置中,我们也可以使用其他硬件。

网络示意图: 在此处输入图像描述

1个回答

是的,这是可能的。您需要使用NAT 穿越模式(NAT-T),并且连接只能由 NAT 后面的设备发起(即连接必须指向公网可达的节点)。请注意,NAT-T 使用 UDP 端口 4500 而不是 500 进行连接。

其它你可能感兴趣的问题
上一篇Ubiquiti/Vyatta 上的 VPN 流量路由 下一篇为什么三层交换机会丢弃 ping 数据包?