每隔一段时间我们都会遇到一个问题,我们无法获得IPSEC VPN隧道的工作。 有时候我们知道地方当局限制使用IPSEC(例如孟加拉国),必须得到某种豁免。 其他时候,ISP会改变一些东西,连接会下降(如海地)。
我认为有一些东西可能会阻止IPSEC的工作。 例如,阻止UDP端口500将阻止IKE。
与其寻求针对特定问题的解决scheme,是否有人可以列出ISP有意或无意中阻止IPSECstream量的不同方式?
这个问题的答案将有助于解决问题,但也让互联网服务提供商知道什么具体的事情,他们需要修复,当我们不能得到我们的VPN!
根据IPsec虚拟专用networking基础的第4章 ,以下体系结构问题可能会中断IPsecstream量:
其中一些事情可能是ISP引入了新的设备,默认情况下,上述任何一种(阻止ICMP-Unreachable似乎是相当可能的默认设置)。 他们可能没有意识到他们需要解决这些问题,以支持他们使用IPSEC的客户,而且这可能不会影响到所有客户。
回答这个“问题”真的不多,他们可以阻止IKE,阻止L2TP / GRE /其他隧道协议,阻止任何看起来像使用ESP / AH的数据包。
– 可以打破的方式的详尽清单(通常)是无限的:没有关于如何设置VPN的具体细节和特定的故障排除几乎不可能给你比上述更多的细节,虽然我相信其他人可以列出他们遇到的具体的破损和他们如何解决…