[port139ml:01888] Re: IPSec NAT Traversal

["Kunio Miyamoto" <wakatono@xxxxxxxxxx>]

　みやもとです。

> ずばりわかってませんm(_ _)m
> 現時点ではやはり英文のドラフト読まないとだめっすか？

　(^^;
　英文のドラフトは結構余計な情報が入ってたりするので、
サマライズされたものを読むのが早道でしょう。

　http://www.sans.org/rr/encryption/NAT2.php

　このあたりであればまず読みやすいかな、と思います。
　かなーり古いですが（1年以上前の情報ですし）、規約の
基本路線は変わってないでしょう。

＃びぎねっとのVPNセミナでもこのあたりは少し触れてます (^^;

> >・IKE の間でパケットをやりとりする際に、source port が UDP/500
> >　以外のリクエストパケットを受け付ける
> ここですがまずイニシエータ側？で source port udp/500 以外
> のポートからパケットを送信するかどうかで IPsec NAT-T 対応
> されているか確認できるってことでそか？
> ＃名前不安定のアレの設定でそいう箇所が見あたらないのが
> ＃気になるところですが...

　箇所がないのであれば、おそらくそうでしょう。
　source port の番号が500番であるかそうでないかで、その後に
NAT Traversal を使うかどうかを判断してるのではないかと想定。

　おそらく、イニシエータ側も同様の判断ロジックを持ってるん
ではないかと想定されますが、パケット追いかけないと不明です
ね、このあたりは。

＃レスポンスパケットの source port がどうなるのか？という
＃のと、イニシエータ側がどう判断するのか？というのをまだ
＃わかってない（手動で設定出来るのであればまだしも、そこも
＃自動というのであればどうするのだろう…と素朴に疑問。
＃NAT 経由による通信を試みてるイニシエータに対しては、IKEの
＃レスポンスパケットのsource portを「わざと」500番以外の
＃ものにすることで対処可能かなと推定。

> 素朴な疑問なのですが、下記のような構成でもいいんですよね？
>  アレ <----> NAT GW <--Internet--> NAT GW <----> アレ
> 両方 NAT の内側にいるけど、静的にグローバルアドレスを割り
> 当てられている環境を想定してるのですが...

　実は、双方ともにNAT（アドレスのみの変換で、ポート番号の変
換は伴わない）だと、この環境だと、NAT Traversal を使わなく
ても ESP を使って IPsec 接続が可能です。

　ESPは、IPヘッダは改ざん防止のためのハッシュ値の計算には使
われないため、IPヘッダ「のみ」の書き換えであれば、問題なく
パケットが通過可能です。

　AH を使った場合は、IPヘッダも含めてハッシュ値が計算される
ので、IPアドレスが書き換えられた後に計算したハッシュ値が違っ
てきます。

> >＃とりあえず、勉強と検証も兼ねてこの部分を強化したまとめ資料を
> >＃作ろうとしてたりしますけど、完成したら誰か欲しい人っているの
> >＃かな？＞そういう資料
> はいっ！(^^)/
> というか、皆さん欲しがると思うのですが(^^;;

　じゃ、気張って作りますか (^^)
　こうしてまた深みにはまっていきます（汗）

＃シュークリーム食べる時に公開してもいいような気もしてきた（汗）

---
宮本 久仁男 (Kunio Miyamoto)
E-mail: wakatono@xxxxxxxxxx
WebDAV Resources JP: http://webdav.todo.gr.jp/