通过NAT和dynamicIP了解IPsec

我正在使用OpenSWANbuild立一个networking到networking的VPN隧道。 我成功地configuration了一个testing场景如下：

关于test和test ：

• 他们是使用ubuntu-vm-builder创build的Ubuntu 12.04虚拟机
• 他们使用桥接networking到主机的物理以太网（192.168.0.0/24子网）。
• 我安装了标准的openswan软件包。
• 每个虚拟接口都可以从VPN隧道的另一端访问。

这是我如何configuration隧道：

• strongSwan安装，双方都在NAT后面
• Openswan Cisco ASA 9.1 – 不能重新发送到IPsec SA请求，因为没有连接是已知的
• Windows Server FIrewall（2012）Ipsec隧道问题
• StrongSwan ipsec ubuntu“忽略信息有效载荷，inputNO_PROPOSAL_CHOSEN”
• 通过VPN隧道进行select性路由

/etc/ipsec.conf（左右相同）：

 version 2.0 config setup nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 oe=off protostack=netkey conn net-to-net authby=secret left=192.168.0.11 leftsubnet=10.1.0.0/16 leftsourceip=10.1.0.1 right=192.168.0.12 rightsubnet=10.2.0.0/16 rightsourceip=10.2.0.1 auto=start 

/etc/ipsec.secrets（左右相同）：

 192.168.0.11 192.168.0.12: PSK "mytestpassword" 

/etc/rc.local（左边）：

 modprobe dummy ifconfig dummy0 10.1.0.1 netmask 255.255.0.0 iptables -t nat -A POSTROUTING -o eth0 -s 10.1.0.0/16 ! -d 10.2.0.0/16 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward for each in /proc/sys/net/ipv4/conf/* do echo 0 > $each/accept_redirects echo 0 > $each/send_redirects done /etc/init.d/ipsec restart exit 0 

/etc/rc.local（在右边）：

 modprobe dummy ifconfig dummy0 10.2.0.1 netmask 255.255.0.0 iptables -t nat -A POSTROUTING -o eth0 -s 10.2.0.0/16 ! -d 10.1.0.0/16 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward for each in /proc/sys/net/ipv4/conf/* do echo 0 > $each/accept_redirects echo 0 > $each/send_redirects done /etc/init.d/ipsec restart exit 0 

现在，我想build立以下场景：

我需要了解的问题：

• IPSec可以通过一个通过NAT（入站NAT穿越）共享一个公共IP的VPN网关连接吗？ NAT-T和IPSec传递是否涉及到这个问题，还是仅仅是出站NAT（即处理NAT后面的客户端，但是网关是否具有公有IP的客户端）呢？ 从router1转发一些端口来testing，还是会与IPSec不兼容？
• 只要有一个域名和dynamicDNS，IPSec隧道的两端是否都有dynamicIP？