NAT-T natt 何时在基于 Azure 策略的基本 VNet 网关上执行,IKEv1 站点到站点连接
When is NAT-T natting performed on Azure policy based basic VNet gateway, IKEv1 site-to-site connection
我对使用 Azure 的 Cisco ASA 和 Checkpoint 系统的 IKEv1 VPN 有一个奇怪的要求。
我们设置了两个基于 Azure 策略的 VNet 网关、虚拟网络和关联的虚拟机。
根据他们的测试和生产环境,连接必须是 IKEv1 AES-256-SHA1-DHGroup2 站点到站点连接,因此我们为测试和生产设置了一个。
The third party system does not support RFC1918 addressing within VPN
tunnels (encryption domain) and/or Peers. There must be publicly
assigned IP addresses for the VPN tunnel, as well as a publicly routed
IP address for the peer.
They recommend using subnets within the tunnel negotiations, and using
your access-lists to narrow this down to specific hosts (subnet SA’s
vs. host SA’s). In the event you need to “hide” multiple hosts behind
a single IP address, you should PAT using a publicly assigned address
to be included in the VPN tunnel. NAT-T (UDP Encapsulation of IPSEC)
is not supported due to global configuration items which affect
multiple customers.
我的问题是,在站点到站点 (S2S) 连接上以基于策略 (IKEv1) 模式连接到 Azure 虚拟网络网关时,何时执行 NAT-T?它是完全完成的还是什么时候执行的?是否仅在前面有负载平衡器时才执行?
澄清一下:你有没有听过这个建议:
站点到站点——基于 IPsec 的 VPN 连接(IKE v1 和 IKE v2)。这种类型的连接需要 VPN 设备或 RRAS。有关详细信息,请参阅站点到站点:
https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-howto-site-to-site-resource-manager-portal
点到站点 – 通过 SSTP(安全套接字隧道协议)的 VPN 连接。此连接不需要 VPN 设备。有关详细信息,请参阅点到站点:
https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-howto-point-to-site-resource-manager-portal
VNet 到 VNet – 这种类型的连接与站点到站点配置相同。 VNet 到 VNet 是基于 IPsec(IKE v1 和 IKE v2)的 VPN 连接。它不需要 VPN 设备。有关详细信息,请参阅 VNet 到 VNet:
https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-howto-vnet-vnet-resource-manager-portal
多站点 – 这是站点到站点配置的变体,允许您将多个本地站点连接到虚拟网络。
只有目标 IP 包含在您指定的虚拟网络本地网络 IP 地址范围内的流量才会通过虚拟网关。流量具有位于虚拟网络内的目标 IP,并保留在虚拟网络内。其他流量通过负载均衡器发送到 public 网络,或者如果使用强制隧道,则通过 Azure VPN 网关发送
我想我试图在 MSDN 论坛上回答同样的问题。只需重复答案:
- NAT-T 在 IPsec 数据包的外部 packets/addresses 上执行。
- Azure VPN 网关不会对 IPsec 隧道的内部数据包 in/out 执行任何 NAT/PAT 功能。因此,如果您在本地网络和 Azure 虚拟网络中使用 public IP 地址,它们将保持不变 to/from Azure VPN 网关和 IPsec 隧道。
- 您可以使用 public IP 地址空间作为 Azure VM/Azure 虚拟网络上的 "private" IP 地址。这些将被 Azure VPN 网关视为 "private" 地址。我们不会对那些内部数据包进行 NAT。
希望对您有所帮助。
谢谢,
玉顺 [MSFT]
我对使用 Azure 的 Cisco ASA 和 Checkpoint 系统的 IKEv1 VPN 有一个奇怪的要求。
我们设置了两个基于 Azure 策略的 VNet 网关、虚拟网络和关联的虚拟机。
根据他们的测试和生产环境,连接必须是 IKEv1 AES-256-SHA1-DHGroup2 站点到站点连接,因此我们为测试和生产设置了一个。
The third party system does not support RFC1918 addressing within VPN tunnels (encryption domain) and/or Peers. There must be publicly assigned IP addresses for the VPN tunnel, as well as a publicly routed IP address for the peer.
They recommend using subnets within the tunnel negotiations, and using your access-lists to narrow this down to specific hosts (subnet SA’s vs. host SA’s). In the event you need to “hide” multiple hosts behind a single IP address, you should PAT using a publicly assigned address to be included in the VPN tunnel. NAT-T (UDP Encapsulation of IPSEC) is not supported due to global configuration items which affect multiple customers.
我的问题是,在站点到站点 (S2S) 连接上以基于策略 (IKEv1) 模式连接到 Azure 虚拟网络网关时,何时执行 NAT-T?它是完全完成的还是什么时候执行的?是否仅在前面有负载平衡器时才执行?
澄清一下:你有没有听过这个建议: 站点到站点——基于 IPsec 的 VPN 连接(IKE v1 和 IKE v2)。这种类型的连接需要 VPN 设备或 RRAS。有关详细信息,请参阅站点到站点: https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-howto-site-to-site-resource-manager-portal
点到站点 – 通过 SSTP(安全套接字隧道协议)的 VPN 连接。此连接不需要 VPN 设备。有关详细信息,请参阅点到站点: https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-howto-point-to-site-resource-manager-portal
VNet 到 VNet – 这种类型的连接与站点到站点配置相同。 VNet 到 VNet 是基于 IPsec(IKE v1 和 IKE v2)的 VPN 连接。它不需要 VPN 设备。有关详细信息,请参阅 VNet 到 VNet: https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-howto-vnet-vnet-resource-manager-portal
多站点 – 这是站点到站点配置的变体,允许您将多个本地站点连接到虚拟网络。
只有目标 IP 包含在您指定的虚拟网络本地网络 IP 地址范围内的流量才会通过虚拟网关。流量具有位于虚拟网络内的目标 IP,并保留在虚拟网络内。其他流量通过负载均衡器发送到 public 网络,或者如果使用强制隧道,则通过 Azure VPN 网关发送
我想我试图在 MSDN 论坛上回答同样的问题。只需重复答案:
- NAT-T 在 IPsec 数据包的外部 packets/addresses 上执行。
- Azure VPN 网关不会对 IPsec 隧道的内部数据包 in/out 执行任何 NAT/PAT 功能。因此,如果您在本地网络和 Azure 虚拟网络中使用 public IP 地址,它们将保持不变 to/from Azure VPN 网关和 IPsec 隧道。
- 您可以使用 public IP 地址空间作为 Azure VM/Azure 虚拟网络上的 "private" IP 地址。这些将被 Azure VPN 网关视为 "private" 地址。我们不会对那些内部数据包进行 NAT。
希望对您有所帮助。
谢谢, 玉顺 [MSFT]