[Lista ArNOG] Forwarding ipsec tetrapak Mikrotik

Fernando Gont fgont en si6networks.com
Lun Ago 6 11:56:17 ART 2018


On 08/06/2018 04:09 PM, Jose Luis Gaspoz wrote:
> Ezequiel:
>  
> Un error recurrente es que si la VPN es en modo tunel y quiere levantar
> AH (authentication header) no va a poder hacerlo a través un NAT porque
> esta intentando autenticar el encabezado IP origen y si pasa a través de
> un nat se cambia el encabezado.
>  
> Para lo demás, si es una IPSec en modo tunel a traves de Nat, solo tiene
> que ser ESP y lo que debes dejar pasar es el UDP 500 (isakmp), el UDP
> 4500 (nat transversal) y ESP (ipsec-esp).
>  
> Ojo que algunos levantan tuneles GRE con encriptacion IPsec, para eso
> tenes que habilitar el paso de GRE.

Y si eventuamente consideras hacer la VPN sobre IPv6, tené en cuenta que
en muchos ladoas se descartan los paquetes de IPsec. No lo ncluimos en
RFC7872, pero *si* lo medimos.

Saludos,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492






Más información sobre la lista de distribución Lista