Поддержка NAT Traversal в Windows

Технология NAT Traversal (NAT-T) позволяет работать VPN IPsec, P2P сети, VoIP через NAT. Проблема NAT маршрутизаторы не умеют извлекать соответсвующие заголовки, поэтому канал обрывается. Чтобы устранить эту проблему, как раз и разработан протокол NAT-Traversal обеспечивающий передачу ESP через UDP (ESPinUDP), и использующий в своей работе порт 4500/UDP. Соответсвующие рекомендации даны в нескольких RFC:

* RFC 1579 — Firewall Friendly FTP
* RFC 2663 — IP Network Address Translator (NAT) Terminology and Considerations
* RFC 2709 — Security Model with Tunnel-mode IPsec for NAT Domains
* RFC 2993 — Architectural Implications of NAT
* RFC 3022 — Traditional IP Network Address Translator (Traditional NAT)
* RFC 3027 — Protocol Complications with the IP Network Address Translator (NAT)
* RFC 3235 — Network Address Translator (NAT)-Friendly Application Design Guidelines
* RFC 3715 — IPsec-Network Address Translation (NAT) Compatibility
* RFC 3947 — Negotiation of NAT-Traversal in the IKE
* RFC 5128 — State of Peer-to-Peer (P2P) Communication across Network Address Translators (NATs)

В Windows NAT Traversal (NAT-T) поддерживается начиная от Windows 2000 SP3 и Windows XP SP2 и выше. Хотя в рекомендация к IPSec сказано, что «IPSec NAT-T is not recommended for Windows Server 2003 computers that are behind network address translators».
Чтобы активировать функцию NAT-T в XP следует в ветке реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPsec, создать DWORD параметр AssumeUDPEncapsulationContextOnSendRule и установить его в одно из трех значений определяющих порядок использования IPsec:

— 0 (по умолчанию) – подключение только с “белого” IP;
— 1 – подключение только из-за NAT (NAT-T);
— 2 – оба варианта подключения.

Некоторые рекомендации описаны в KB818043 http://support.microsoft.com/kb/818043

Теги:

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии

Комментариев пока что нет

Оставить комментарий

(required)

(required)