|
阅读:4743回复:11
ipsec和NAT内网建立连接的实现问题?
我在网络上发现有一个公司的产品可以实现在NAT内网的PC之间建立IPSEC。我研究了一下,但是不知道他们具体实现的原理是什么,大家可以看看(www.comexe.cn)。
如果IPSEC一端是内网,另外一端是公网固定IP,如果内网主动发起访问,就应该可以访问到公网端。如果一旦建立了IPSEC连接,是不是双方都可以主动发起访问了?这个我就有点不明白。公网端访问内网的IP是怎么处理的? NAT server怎么会把这个packet给接收进来? 对于ipsec两地都是内网,我更不能理解了。实现方法是什么? 请大家帮忙给分析一下! 谢谢!!! |
|
|
沙发#
发布于:2004-02-21 09:49
通过NAT,有个NAT草案可以解决这个问题。
|
|
|
板凳#
发布于:2004-03-20 10:31
我发现大部分说能实现任何NAT穿越的说法都是作了一些夸张,不过能满足大部分环境也就不容易了。
|
|
|
地板#
发布于:2004-03-28 23:10
>对于ipsec两地都是内网,我更不能理解了。实现方法是什么?
对于这种情况,一般需要一个vpn转发网关,就是下面的拓扑: lanA - VPNA - NATA - --- transporter ---NATB - VPNB -LANB 需要在转发网关里是有策略的。 可以把转发器假想为一个vpnC。 vpnA到VpnB的报文,在网关vpnA中,设置目的地址是转发器,由转发器转换为普通的ipsec报文,目的地址为natb。 |
|
|
|
地下室#
发布于:2004-03-29 09:37
谢谢回答,这些日子来,我一直在研究这个问题,不知道有没有什么类似的软件实现?我感觉和目前流行的P2P软件很相似。对应内网的Peer to 内网的peer,通讯有什么标准吗?
|
|
|
5楼#
发布于:2004-03-30 21:43
两个内网的主机能够建立IPsec连接吗? 好像没有这样的技术,谁有文档或者协议实现的介绍吗?
|
|
|
|
6楼#
发布于:2004-04-08 15:22
你所说的“内网”,就是指同一网段吧?应该是可以的。这就是所谓的“桥模式”。一般公司的实现都是用arp proxy。可以看看sonicwall和天融信的产品。
|
|
|
|
7楼#
发布于:2004-06-30 11:35
draft-ietf-ipsec-nat-t-ike-03
draft-ietf-ipsec-udp-encaps-03 个人感觉现在很多厂商鼓吹的“双端nat穿越”,都需要一个额外的集中器,那么实际上这个集中器就是一个有公网地址的vpn网关,由这些东西建立一个“vpn星型连接”。 但不管有多少个vpn网关建立星型连接,至少都要有一个网关是“可寻址的”,否则无法实现。 欢迎讨论! [编辑 - 1/26/05 by wuhuaqiang] |
|
|
|
8楼#
发布于:2004-07-18 23:44
用那个vnn就可以,我在我家的内网里可以访问我们学校的内网,都是NAT
|
|
|
9楼#
发布于:2004-07-28 10:31
VNN就是一个中间的管理。。。
|
|
|
10楼#
发布于:2004-07-28 10:37
我看过那个comexe了,也是通过ESP in UDP来的,但是它描述比较模糊。
易网通的隧道根据IETF的draft-ietf-ipsec-udp-encaps-06.txt草案(UDP Encapsulation of IPsec Packets)实现IP隧道,并在此基础上提供IPsec隧道。 适应性 公网固定IP 公网动态IP 内网IP eSwan可以用于采用公网IP接入Internet的网络环境,以及采用NAT方式共享接入Internet的网络环境(内网)。 |
|
|
11楼#
发布于:2004-12-30 00:10
我想是这么的,不对的地方,请各位大侠指教:
1、利用了nat-t技术首先在你机器上和comexe的vpn上建立vpn隧道 2、利用隧道转发的技术,把公网的合法地址利用隧道转发到你机器上的虚拟网卡,然后你就可以在nat之后对外提供服务了 |
|