◆ IPsec と NAT/NAPTが共存できない理由
NAT/NAPTデバイスを経由した通常のIPsecの通信はAH、 ESP、IKE のどれにおいても問題が発生します。
各プロトコルの問題 |
説明 |
AHにおける問題 |
トランスポートモード、トンネルモードともにIPヘッダが認証の対象となるため、NATまたはNAPTで
そのIPアドレス情報が書き換えられると改ざんされたパケットとみなされ認証エラーが発生してしまう。
|
ESPにおける問題 |
どちらのモードでもESPの場合は認証の対象にIPヘッダが含まれないためAHのような問題は発生しない。
しかし、どちらのモードも暗号化の対象にTCP/UDPヘッダが含まれているため、NAPTによりポート番号
の変更を行うにもTCP/UDPのポート番号フィールドが暗号化されているためポート番号を読み取れない。
これによりESPでカプセル化されたパケットはNAPTを実装したネットワーク機器を通過する事ができない。
|
IKEにおける問題 |
ISAKMPメッセージは、送信元ポートも宛先ポートもUDP500番を使用するとRFC2408で定められている。
従ってNAPTを実装したネットワーク機器でポート番号500を変換してパケットを転送することはできない。
|
◆ AHにおける問題点
◆ ESPにおける問題点
◆ IKEにおける問題点
このようにAH、ESP、IKEともに問題が発生するため、IPsecのパケットはNAT/NAPTデバイスを通過させる
ためには、NAT Traversalという技術を実装させる必要があります。次回はそのNAT Traversalを解説します。
|