PSec ne fonctionne pas si nous avons un périphérique NAT entre deux homologues IPSec, effectuant la traduction d’adresse de port. Il n’est pas possible pour les paquets ESP IPSec de traverser (Traverser ou passer sur) un périphérique NAT effectuant une PAT.

Avant de poursuivre, vous devez savoir ce qu’est la traduction d’adresses réseau (NAT) et la traduction d’adresses de port (PAT).

Dans la traduction d’adresse de port (PAT), le périphérique NAT modifie le numéro de port source (TCP ou UDP) avec un autre numéro de port. Pour effectuer la traduction d’adresse de port (PAT), un périphérique NAT doit pouvoir ouvrir l’en-tête TCP / UDP et trouver Source. Numéro de port TCP / UDP. Les numéros de port TCP et UDP ne sont pas visibles pour un périphérique NAT exécutant PAT entre homologues IPSec, car les en-têtes TCP / UDP sont cryptés et encapsulés avec un en-tête ESP.

Lorsque IPSec est utilisé pour sécuriser le trafic IPv4, les numéros de port TCP / UDP d’origine sont conservés chiffrés et encapsulés à l’aide d’ESP. L’image suivante montre comment IPSec encapsule le datagramme IPv4. Pour plus de détails, visitez Modes VPN IPSec – Mode Tunnel et Mode Transport.

L’image suivante montre une capture Wireshark d’un paquet IPSec encapsulé dans ESP.

Notez que les en-têtes TCP / UDP ne sont pas visibles. Les en-têtes TCP / UDP sont cryptés en tant que données utiles ESP.

La technologie NAT Traversal (NAT-T) est utilisée dans IPSec pour résoudre le problème mentionné ci-dessus.

La technologie NAT Traversal (NAT-T) peut détecter si les deux homologues IPSec prennent en charge NAT-T. La technologie NAT Traversal (NAT-T) peut également détecter des périphériques NAT entre homologues IPSec. Les messages un et deux du mode principal ISAKMP sont utilisés pour détecter si les deux homologues IPSec prennent en charge NAT-T. Si les deux homologues IPSec prennent en charge NAT-T, des périphériques NAT sont détectés dans les messages trois et quatre du mode principal ISAKMP.f

Une fois qu’un périphérique NAT PAT est détecté entre homologues IPSec, NAT-T encapsule les paquets ESP dans un en-tête UDP non chiffré avec les ports source et de destination sous la forme 4500. Maintenant, les périphériques NAT PAT ont un en-tête UDP et un numéro de port sur lesquels jouer. habituel.

Show CommentsClose Comments

Leave a comment