[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:01880] Re: IPSec NAT Traversal



 みやもとともーします。

> >すぐに名前の変わるアレ、に対して NAT で接続する VMware 上の XP から
> >IPsec での通信を試みればテスト可能ですかね。XP 入れてみるか...
> VMware 上の XP (NAT 経由)からトランスポートモードでの接続を
> テストしてみましたが、セキュリティ ログには NAT Box のアドレス
> との間で「IKE セキュリティアソシエーションが確立されました」と
> いうレコードがセキュリティ ログに記録され、うまくいきませんで
> した。
>    アレ <-----VMware Box ----> XP Sp1
> 172.16.0.1    172.16.0.100    192.168.0.1
> こんな感じの構成だと、172.16.0.1 と 172.16.0.100 で SA を確立
> してしまうようです。一応 172.16.0.100 では IPsec Policy Agent
> を停止してあります。
> ほんとは XP ではなく アレ を NAT 上に置いて試してみたいのです
> けど、手元だと VMware 上にインストールできなくて(T_T)

 うーん。
 時間見て今週中にオレも試してみますが、NAT Traversal の仕様を
みる限りにおいて、サーバ/クライアントのどちらも NAT Traversal
に対応してないと、NAT Traversal を使った IPsec 接続は出来ません。

 で、XPのIPsecって、多分対応してないんじゃないかと…
>NAT Traversal

#個人的には、IPsec の NAT Traversal と UPnP の NAT Traversal が
#同じ用語になってるのに激しい違和感を覚えてます…

 伊原さんはおわかりだと思ってますが (^^; 、そういうあたりを調べ
るにも手間がぁ・・・という方のために簡単に(?)説明すると、NAT 
Traversalの実装は

・IKE の間でパケットをやりとりする際に、source port が UDP/500
 以外のリクエストパケットを受け付ける
・UDP/500に対してIKEのリクエストが飛んできたら、リクエストを受け
 付けたIKEは、それに対するレスポンスをリクエストパケットのアド
 レスとポートに対して投げつける(→NAPTのルールが残ってれば(多
 分残ってる)そのままNAPT経由でつながってるマシンにパケットは
 送り届けられる)。
・ネゴシエートが終わったら、UDPヘッダとNAT Traversalヘッダを付加
 したESPパケットをNAPT経由でつながってるマシンから送る
 (→NAPTのルールがまたここで作成される)
・あとはそのルールに従ったパケットを投げつける

てな感じですかね。

#当然、イニシエータ(接続をトライする側)がNAPTの内側にいる必要は
#あります :-D

 とりあえず、名前不安定のアレ(さらにはしょってます)の設定項目を
みてみないとなんともいえませんが、このあたり自動で処理してそうな
雰囲気かなぁ(IKEネゴシエーションの段階で、NAPT経由のパケットかど
うかはわかるので)。

#とりあえず、勉強と検証も兼ねてこの部分を強化したまとめ資料を
#作ろうとしてたりしますけど、完成したら誰か欲しい人っているの
#かな?>そういう資料

---
宮本 久仁男 (Kunio Miyamoto)
E-mail: wakatono@xxxxxxxxxx
WebDAV Resources JP: http://webdav.todo.gr.jp/