我们的一个客户正在私有networking地址范围内build立一个ISA-Cluster,我们必须和他们build立一个VPN连接。 有没有办法避免NAT-T,这是我们遇到问题的地方:
在IKE请求中有一个字段ENCAPSULATION_MODE, 如果按照RFC3947的规定,那么NAT-T的值应该是3 。
然而,Ciscos和微软ISA似乎仍然发送了OpenBSD(容忍,良好)所接受的61443的历史价值。 但是 – 没有办法让OpenBSD发送一个ENCAPSULATION_MODE = 61443的请求,并且“标准”值3被Microsoft ISA拒绝。
任何人都知道这个解决scheme?
听说MS ISA的补丁能让它接受“3”,这将是很好的…
更新:“对方”有MS ISA 2006 Enterprise。 “我们的一面”有OpenBSD 4.5。
解决scheme是手动configurationOpenBSD端的VPN连接(isakmpd.conf代替ipsec.conf),并在快速模式自定义转换定义中使用ENCAPSULATION_MODE = UDP_ENCAP_TUNNEL_DRAFT。
万岁的可configuration性!