web-dev-qa-db-ja.com

ISPはIPSECトラフィックをブロックするために何ができますか?

IPSEC VPNトンネルが機能しないという問題がたびたび発生します。地方自治体がIPSEC(バングラデシュなど)の使用を制限しており、何らかの免除を受ける必要があることを知っている場合があります。 ISPが何かを変更し、接続が切断される場合もあります(ハイチなど)。

IPSECの動作を妨げる可能性があるものはたくさんあると思います。たとえば、UDPポート500をブロックすると、IKEが防止されます。

特定の問題の解決策を探すのではなく、意図的または偶然のいずれかで、ISPがIPSECトラフィックをブロックするためにどのようなことを行うことができるかについてのリストを誰かが提供できますか?

この質問への回答はトラブルシューティングに役立ちますが、VPNを起動できないときに修正する必要がある具体的な事項をISPに知らせることもできます。

vpnfirewallipsec
4
dunxd

IPsec Virtual Private Network Fundamentalsの第4章 以下のアーキテクチャ上の問題は、IPsecトラフィックを混乱させる可能性があります。

  • ファイアウォールが必要なプロトコルを許可していません
    • ISAKMP(ポート500)
    • ESP(IPプロトコル50)
    • AH(IPプロトコル51)
  • ファイアウォール(またはルーター)がなどの断片化されたIPsecパケットを処理しない
    • iCMP到達不能パケットに応答しない-パスMTU検出の破壊

これらのいくつかは、デフォルトで上記のいずれかを実行する新しい機器をISPが導入することから生じる可能性があります(ICMP-Unreachableのブロックは、おそらくデフォルト設定のようです)彼らは、IPSECを使用する顧客をサポートするためにそのような問題を修正する必要があることに気付かない可能性があり、それがすべての顧客に影響を与えるとは限りません。

7
dunxd

この「質問」に答えるためにできることは実際にはあまりありません。IKEをブロックしたり、L2TP/GRE /その他のトンネリングプロトコルをブロックしたり、ESP/AHを使用しているように見えるパケットをブロックしたりできます。

-問題が発生する可能性のある方法の完全なリストは(通常)無限です:VPNの設定方法の詳細とトラブルシューティングのための具体的な問題がないと、上記よりも詳細を示すことは不可能ですが、他の人は確信しています彼らが遭遇した特定の破損とそれらがどのように解決されたかをリストすることができます...

5
voretaq7