dun*_*nxd 4 vpn firewall ipsec
我们经常遇到无法使 IPSEC VPN 隧道正常工作的问题。有时我们知道地方当局限制使用 IPSEC(例如孟加拉国),并且必须获得某种豁免。有时 ISP 更改某些内容并且连接断开(例如海地)。
我认为有很多事情可能会阻止 IPSEC 工作。例如,阻止 UDP 端口 500 将阻止 IKE。
不是为特定问题寻找解决方案,而是有人可以列出 ISP 可能采取哪些不同措施来阻止 IPSEC 流量,无论是有意还是无意?
这个问题的答案将有助于故障排除,而且还可以让 ISP 知道当我们无法启动 VPN 时他们需要解决哪些具体问题!
借鉴IPsec 虚拟专用网络基础的第 4 章,以下架构问题可能会中断 IPsec 流量:
其中一些事情可能是由于 ISP 引入了默认情况下执行上述之一的新设备(阻止 ICMP-Unreachable 似乎很可能是默认设置)。他们可能没有意识到他们需要解决这些问题来支持使用 IPSEC 的客户——而且这可能不会影响到他们的所有客户。
我们真的无能为力来回答这个“问题”——他们可以阻止 IKE,他们可以阻止 L2TP/GRE/其他隧道协议,他们可以阻止任何看起来可能使用 ESP/AH 的数据包,等等。
- 事情可能会中断的详尽方式列表(通常)是无限的:如果没有关于您的 VPN 是如何设置的详细信息以及用于排除故障的特定故障,则几乎不可能为您提供比上述更多的详细信息,尽管我相信其他人可以列出他们遇到的具体损坏以及如何解决...