---

Hvis man kører IPSec og konfigurer forbindelsen til ESP i tunnelmode...
forstår de fleste routere så dette?

Jeg så, at en producent foreslår at indkapsle IPsec-traffik i en ren
UDP-pakke.
Jeg kan forstå det skulle være nødvendigt for AH i transportmode, hvis der
er NAT undervejs...

men er det virkelig nødvendig at inkapsle ESÅ - tunnemode - i en ny
UDP-pakke?
Hvis ja: hvorfor?


--
Med venlig hilsen
Bjørn Quist

---

> men er det virkelig nødvendig at inkapsle ESÅ - tunnemode - i en ny
> UDP-pakke?
> Hvis ja: hvorfor?
Ja - EPS kan ikke NAT/PAT'es derfor encap i fx UDP der kan PAT's.
Nogle routers er ikke "ESP-aware" og nogle er .

HTH
Martin Bilgrav

---

Martin Bilgrav wrote:

> Ja - EPS kan ikke NAT/PAT'es derfor encap i fx UDP der kan PAT's.

> Nogle routers er ikke "ESP-aware" og nogle er .

De routere der er "ESP-aware" (faktisk er jeg ikke stødt på routere der
ikke var "ESP-aware", men dog har der typisk også kun siddet en VPN
klient bag), vil således tillade ESP, traffik, nu er det blot op til ESP
implementationen om det så virker.

Jeg har gode erfaringer med Raptor og OpenBSD.

---

> EPS kan ikke NAT/PAT'es derfor encap i fx UDP der kan PAT's.

Er du sikker på det?

Hvis der køres i transport-mode kan ESP ikke NAT'es. Men hvis der køres i
tunnelmode, kan ESP da godt NAT'es