[port139ml:01880] Re: IPSec NAT Traversal

["Kunio Miyamoto" <wakatono@xxxxxxxxxx>]

　みやもとともーします。

> >すぐに名前の変わるアレ、に対して NAT で接続する VMware 上の XP から
> >IPsec での通信を試みればテスト可能ですかね。XP 入れてみるか...
> VMware 上の XP （NAT 経由）からトランスポートモードでの接続を
> テストしてみましたが、セキュリティ ログには NAT Box のアドレス
> との間で「IKE セキュリティアソシエーションが確立されました」と
> いうレコードがセキュリティ ログに記録され、うまくいきませんで
> した。
>    アレ <-----VMware Box ----> XP Sp1
> 172.16.0.1    172.16.0.100    192.168.0.1
> こんな感じの構成だと、172.16.0.1 と 172.16.0.100 で SA を確立
> してしまうようです。一応 172.16.0.100 では IPsec Policy Agent
> を停止してあります。
> ほんとは XP ではなく アレ を NAT 上に置いて試してみたいのです
> けど、手元だと VMware 上にインストールできなくて(T_T)

　うーん。
　時間見て今週中にオレも試してみますが、NAT Traversal の仕様を
みる限りにおいて、サーバ／クライアントのどちらも NAT Traversal
に対応してないと、NAT Traversal を使った IPsec 接続は出来ません。

　で、XPのIPsecって、多分対応してないんじゃないかと…
＞NAT Traversal

＃個人的には、IPsec の NAT Traversal と UPnP の NAT Traversal が
＃同じ用語になってるのに激しい違和感を覚えてます…

　伊原さんはおわかりだと思ってますが (^^; 、そういうあたりを調べ
るにも手間がぁ・・・という方のために簡単に（？）説明すると、NAT 
Traversalの実装は

・IKE の間でパケットをやりとりする際に、source port が UDP/500
　以外のリクエストパケットを受け付ける
・UDP/500に対してIKEのリクエストが飛んできたら、リクエストを受け
　付けたIKEは、それに対するレスポンスをリクエストパケットのアド
　レスとポートに対して投げつける（→NAPTのルールが残ってれば（多
　分残ってる）そのままNAPT経由でつながってるマシンにパケットは
　送り届けられる）。
・ネゴシエートが終わったら、UDPヘッダとNAT Traversalヘッダを付加
　したESPパケットをNAPT経由でつながってるマシンから送る
　（→NAPTのルールがまたここで作成される）
・あとはそのルールに従ったパケットを投げつける

てな感じですかね。

＃当然、イニシエータ（接続をトライする側）がNAPTの内側にいる必要は
＃あります :-D

　とりあえず、名前不安定のアレ（さらにはしょってます）の設定項目を
みてみないとなんともいえませんが、このあたり自動で処理してそうな
雰囲気かなぁ（IKEネゴシエーションの段階で、NAPT経由のパケットかど
うかはわかるので）。

＃とりあえず、勉強と検証も兼ねてこの部分を強化したまとめ資料を
＃作ろうとしてたりしますけど、完成したら誰か欲しい人っているの
＃かな？＞そういう資料

---
宮本 久仁男 (Kunio Miyamoto)
E-mail: wakatono@xxxxxxxxxx
WebDAV Resources JP: http://webdav.todo.gr.jp/