IPsec - NAT Traversal



 ◆ IPsec と NAT/NAPTが共存できない理由

 NAT/NAPTデバイスを経由した通常のIPsecの通信はAH、 ESP、IKE のどれにおいても問題が発生します。

各プロトコルの問題 説明
AHにおける問題

 トランスポートモード、トンネルモードともにIPヘッダが認証の対象となるため、NATまたはNAPTで
 そのIPアドレス情報が書き換えられると改ざんされたパケットとみなされ認証エラーが発生してしまう。

ESPにおける問題

 どちらのモードでもESPの場合は認証の対象にIPヘッダが含まれないためAHのような問題は発生しない。
 しかし、どちらのモードも暗号化の対象にTCP/UDPヘッダが含まれているため、NAPTによりポート番号
 の変更を行うにもTCP/UDPのポート番号フィールドが暗号化されているためポート番号を読み取れない。
 これによりESPでカプセル化されたパケットはNAPTを実装したネットワーク機器を通過する事ができない。

IKEにおける問題

 ISAKMPメッセージは、送信元ポートも宛先ポートもUDP500番を使用するとRFC2408で定められている。
 従ってNAPTを実装したネットワーク機器でポート番号500を変換してパケットを転送することはできない。



 ◆ AHにおける問題点


   




 ◆ ESPにおける問題点


   





 ◆ IKEにおける問題点


   



 このようにAH、ESP、IKEともに問題が発生するため、IPsecのパケットはNAT/NAPTデバイスを通過させる
 ためには、
NAT Traversalという技術を実装させる必要があります。次回はそのNAT Traversalを解説します。



IPsec、IPsec-VPN、リモートアクセスVPN

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.