Δεν συνιστάται η IPSec NAT-T για υπολογιστές του Windows Server 2003 που βρίσκονται πίσω από συσκευές μετάφρασης διευθύνσεων δικτύου

ΕΙΣΑΓΩΓΗ

Για αναπτύξεις των Windows που περιλαμβάνουν διακομιστές VPN και που βρίσκονται πίσω από συσκευές μετάφρασης διευθύνσεων δικτύου, δεν συνιστάται η διέλευση μετάφραση (NAT) διεύθυνση δικτύου ασφάλειας (IPSec) πρωτοκόλλου Internet (NAT-T). Όταν ένας διακομιστής που βρίσκεται πίσω από μια συσκευή μετάφρασης διευθύνσεων δικτύου και ο διακομιστής χρησιμοποιεί το IPSec NAT-T, ακούσια επιπτώσεις ενδέχεται να παρουσιαστεί εξαιτίας του τρόπου που συσκευές μετάφρασης διευθύνσεων δικτύου μεταφράζουν την κυκλοφορία δικτύου.


Επιπλέον, η προεπιλεγμένη συμπεριφορά των Microsoft Windows XP έχει αλλάξει με Service Pack 2 (SP2). Συσχετίσεις ασφαλείας IPSec NAT-T με διακομιστές που βρίσκονται πίσω από συσκευές μετάφρασης διευθύνσεων δικτύου δεν συνιστάται για υπολογιστές που βασίζονται σε Windows XP SP2. Η αλλαγή αυτή σημαίνει ότι δεν μπορεί να αναπτυχθεί ένα διακομιστή με Microsoft Windows Server 2003 εικονικού ιδιωτικού δικτύου (VPN) που χρησιμοποιεί το πρωτόκολλο διοχέτευσης επιπέδου με την πολιτική IPSec (L2TP/IPSec) πίσω από μια συσκευή μετάφρασης διευθύνσεων δικτύου χωρίς πρόσθετη ρύθμιση παραμέτρων για υπολογιστές-πελάτες VPN που βασίζεται στο Windows XP SP2.

Εάν χρειάζεστε τη ρύθμιση IPSec για επικοινωνία, συνιστάται να χρησιμοποιείτε δημόσιες διευθύνσεις IP για όλους τους διακομιστές που μπορείτε να συνδεθείτε απευθείας από το Internet. Οι υπολογιστές-πελάτες που βασίζονται στα Windows που υποστηρίζουν IPSec NAT-T μπορεί να βρίσκεται πίσω από συσκευή μετάφρασης διευθύνσεων δικτύου.

Περισσότερες πληροφορίες

Συσκευή NAT είναι μια ευρέως χρησιμοποιούμενη τεχνολογία που επιτρέπει σε περισσότερους από έναν υπολογιστή για να χρησιμοποιήσετε από κοινού μία δημόσια διεύθυνση IP. Συσκευές μετάφρασης διευθύνσεων δικτύου αντιστοίχιση ιδιωτικές διευθύνσεις που χρησιμοποιούνται από τις εξής ιδιωτικά δίκτυα σε δημόσιες διευθύνσεις IP που χρησιμοποιούνται στο Internet:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Εάν τοποθετείτε ένα διακομιστή πίσω από μια συσκευή μετάφρασης διευθύνσεων δικτύου, ενδέχεται να αντιμετωπίσετε προβλήματα σύνδεσης, επειδή οι υπολογιστές-πελάτες που συνδέονται με το διακομιστή μέσω του Internet απαιτούν μια δημόσια διεύθυνση IP. Για να συνδεθούν με διακομιστές που βρίσκονται πίσω από συσκευές μετάφρασης διευθύνσεων δικτύου από το Internet, πρέπει να ρυθμιστεί στατικών αντιστοιχήσεων από τη συσκευή μετάφρασης διευθύνσεων δικτύου. Για παράδειγμα, για να συνδεθούν με έναν υπολογιστή που βασίζεται σε Windows Server 2003 που βρίσκεται πίσω από συσκευή μετάφρασης διευθύνσεων δικτύου από το Internet, ρυθμίστε τη συσκευή μετάφρασης διευθύνσεων δικτύου με το παρακάτω αντιστοιχίσεις μετάφρασης διευθύνσεων στατικού δικτύου:
  • Δημόσια IP διεύθυνση/θύρα UDP 500 για το διακομιστή ιδιωτική IP διεύθυνση/τη θύρα UDP 500.
  • Δημόσια IP διεύθυνση/θύρα UDP 4500 για το διακομιστή ιδιωτική IP διεύθυνση/τη θύρα UDP 4500.
Οι αντιστοιχίσεις αυτές απαιτούνται ώστε όλα ανταλλαγής κλειδιών Internet (IKE) και IPSec NAT-T κυκλοφορία που αποστέλλεται στη δημόσια διεύθυνση από τη συσκευή μετάφρασης διευθύνσεων δικτύου μετάφραση και προωθούνται στον υπολογιστή που βασίζεται σε Windows Server 2003 αυτόματα.

Ωστόσο, εάν έχετε ένα διακομιστή VPN που βασίζεται σε Windows Server 2003, σας συνιστούμε να εκχωρείτε μια δημόσια διεύθυνση IP με το διακομιστή VPN. Αντιστοιχίζοντας μια δημόσια διεύθυνση IP του διακομιστή VPN, μπορείτε να αποφύγετε καταστάσεις όπου η κυκλοφορία IP είτε χαθεί ή κατά λάθος να προωθηθεί σε εσφαλμένη θέση εξαιτίας της συμπεριφοράς μετατροπής διευθύνσεων δικτύου τυπική.

Τα Windows XP SP2 δεν υποστηρίζει τη δημιουργία συσχετίσεων ασφαλείας IPSec NAT-T με διακομιστές πίσω από συσκευές NAT.

Έχουμε αλλάξει την προεπιλεγμένη συμπεριφορά της IPSec NAT-T στο Windows XP Service Pack 2 (SP2). Τα Windows XP SP2 δεν υποστηρίζει ένας συσχετισμός ασφαλείας IPSec NAT-T σε ένα διακομιστή που βρίσκεται πίσω από μια συσκευή ή ένα στοιχείο που εκτελεί μετάφραση διευθύνσεων δικτύου. Αυτή η αλλαγή έγινε για την αποφυγή πιθανού κινδύνου ασφαλείας στην ακόλουθη περίπτωση:
  1. Συσκευή μετάφρασης διευθύνσεων δικτύου έχει ρυθμιστεί για να αντιστοιχίσετε ένα διακομιστή σε ένα δίκτυο που έχει ρυθμιστεί το NAT κυκλοφορία IKE και IPSec NAT-T. (Αυτός ο διακομιστής είναι διακομιστής 1). Οι αντιστοιχίσεις μετάφρασης διευθύνσεων δικτύου είναι αυτά που προτείνουμε σε αυτό το άρθρο.
  2. Ένας υπολογιστής-πελάτης από εκτός του δικτύου που έχει ρυθμιστεί το NAT χρησιμοποιεί IPSec NAT-T για τη δημιουργία συσχετίσεων ασφαλείας διπλής κατεύθυνσης με διακομιστή 1. (Το πρόγραμμα-πελάτη είναι 1 του προγράμματος-πελάτη).
  3. Ένας υπολογιστής-πελάτης του δικτύου που έχει ρυθμιστεί το NAT χρησιμοποιεί IPSec NAT-T για τη δημιουργία συσχετίσεων ασφαλείας διπλής κατεύθυνσης με 1 του προγράμματος-πελάτη. (Το πρόγραμμα-πελάτη είναι 2 του προγράμματος-πελάτη).
  4. Μια συνθήκη προκύπτει που προκαλεί 1 του προγράμματος-πελάτη για να επαναφέρετε τους συσχετισμούς ασφαλείας με 2 του υπολογιστή-πελάτη λόγω τις αντιστοιχίσεις μετάφρασης για την διεύθυνση στατικού δικτύου που αντιστοιχίζουν κυκλοφορία IKE και IPSec NAT-T στο διακομιστή 1. Αυτή η συνθήκη μπορεί να προκαλέσει την IPSec ασφαλείας συσχέτιση κυκλοφορία δεδομένων διαπραγμάτευσης που αποστέλλεται από τον υπολογιστή-πελάτη και που προορίζεται για υπολογιστή-πελάτη 2 για να τη λανθασμένη δρομολόγηση στο διακομιστή 1.
Αν και αυτό είναι ένα συνηθισμένο κατάστασης, η προεπιλεγμένη συμπεριφορά σε υπολογιστές που βασίζονται σε Windows XP SP2 αποτρέπει τις συσχετίσεις ασφαλείας που βασίζονται σε IPSec NAT-T με διακομιστές που βρίσκονται πίσω από μια συσκευή μετάφρασης διευθύνσεων δικτύου για να βεβαιωθείτε ότι αυτή η κατάσταση προκύπτει ποτέ.

Για να ενεργοποιήσετε τις συσχετίσεις ασφαλείας IPSec NAT-T με διακομιστές που βρίσκονται πίσω από μια συσκευή μετάφρασης διευθύνσεων δικτύου, μπορεί να αλλάξει την προεπιλεγμένη συμπεριφορά του Windows XP SP2. Δεν συνιστάται να αλλάξετε την προεπιλεγμένη συμπεριφορά.

Περισσότερες πληροφορίες

Για περισσότερες πληροφορίες σχετικά με το Windows XP SP2 και συσχετίσεις ασφαλείας IPSec NAT-T-βάση, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

885407 αλλάζει την προεπιλεγμένη συμπεριφορά της IPSec NAT traversal (NAT-T) στο Windows XP Service Pack 2

Ιδιότητες

Αναγνωριστικό άρθρου: 885348 - Τελευταία αναθεώρηση: 17 Φεβ 2017 - Αναθεώρηση: 2

Σχόλια