Пересылка VPN через обратный туннель SSH
У меня есть сервер, который обратный туннели SSH на вторичный сервер. Вторичный сервер действует как "мост" к внутреннему серверу (к которому я подключаюсь IP-адрес внешнего сервера).
Это прекрасно работает для большинства служб (файлов, SSH и т. Д.), Но не работает для L2TP VPN. Я туннелировал порты 500 и 4500. Но что меня запутало, так это "значение ESP 50", которое очевидно требуется для L2TP. Как мне туннелировать это, чтобы завершить путь данных VPN?
Или, если это не проблема, что может привести к тому, что VPN не будет подключаться через обратный туннель?
1 ответ
Протокол инкапсуляции безопасности (ESP) - это IP-протокол 50. Он сам по себе имеет номер протокола, как это делают ICMP, TCP и UDP, и, возможно, является правильным протоколом, который следует использовать для зашифрованных туннелей.
Однако, хотя TCP и UDP имеют как ip-адреса, так и номера портов, связанные как с источником, так и с адресом, ICMP и ESP этого не делают. Именно комбинация портов и адресов делает NAT и туннелирование практичными; без них трафик очень трудно справиться.
Проблема состоит в том, что, когда устройство туннелирования (или NAT) имеет два или более входных потоков UDP для передачи в одну конечную точку, и ответы возвращаются из этой конечной точки в устройство туннелирования, номера портов источника могут использоваться для устранения неоднозначности два потока. В ESP отсутствует номер порта, который будет использоваться для устранения неоднозначности, поэтому конечной точке туннелирования трудно узнать, на какой из нескольких источников ESP должен быть направлен ответ ESP.
IPSec, который по умолчанию также использует ESP, некоторое время назад кодифицировал расширения NAT-обхода, которые вместо этого используют UDP/4500. Я не знаю, что в L2TP есть такой режим, и без него я боюсь, что вы не сможете делать то, что хотите.
Я надеюсь, что ошибаюсь по этому поводу, и что кто-то еще придет и отправит лучший ответ. Но в отсутствие этого я подумал, что должен хотя бы попытаться объяснить, что такое ESP и почему это головная боль в туннелировании.