web-dev-qa-db-ja.com

IPSECトンネルはトラフィックの新しいセッションを確立しますか?

バックグラウンド

AT&Tビジネスファイバーは基本的にU-Verseホームインターネットのブランド名を変更しました。 「モデム」(実際にはルーターですが、簡単にするためにルーターと呼びます)には、約8Kセッションという厳しい制限があります。カスケードルーターモード(他のデバイスのブリッジモードと同様)のモデムでも、モデムはTCPセッションを追跡し、制限に達すると新しいセッションを許可しません。AT&Tの答えは基本的に、この問題は、ユーザーが中小企業の計画を超えて、同じ速度で数桁高価なエンタープライズファイバーに移行する必要がある場合に発生します。これは、非常に小規模なオフィスではばかげているようです。私が行ったすべての投稿を考慮すると3年以上前にさかのぼるこのことについてウェブの周りで見つけました私はAT&Tがそれを修正するために急いでいるとは思わない。

また、ルーターを使用してモデムをバイパスすることに関するハッキングが文書化されていますが、ビジネスに不安定なものを推奨することは非常に臆病です。彼らは長期的にサポート可能なソリューションを必要とします。 VPNのアイデアに関する議論がないことに驚いたので、ここにいます。

ISPの変更が検討されていますが、ISPのオプションは非常に限られています。

質問

クライアントがIPSECサイト間VPNトンネルに接続されたモデムのダウンストリームにルーターを提供し、すべてのトラフィックをトンネルの反対側にルーティングした場合、モデムは複数のセッションを監視できますか?トンネルは、独自に確立されたセッションですべてのトラフィックをラップしますか? IPSECはTCPよりも高いレベルで動作するため、新しいセッションはそれぞれWAN暗号化されたばかりの新しいセッションになりますか?

問題を説明している他の人へのリンク

https://www.reddit.com/r/sysadmin/comments/74qu5s/isp_nat_sessions_limit/

https://medium.com/teamzerolabs/disabling-bypassing-at-t-fiber-nvg595-nat-table-limits-Fedora-guide-62d5747e221a

http://solderthoughts.com/2017/06/growing-pains-att-gigabit-fiber/

firewallroutingnatipsecisp
1
Kerry Hatcher

IPsecはプロトコルスイートであり、ここでは、トンネルモードでのIPカプセル化セキュリティペイロード(ESP)についてより具体的に説明します。関連する詳細は RFC 4303、3.1.2トンネルモード処理 にあります:

トンネルモードでは、「内部」IPヘッダーは最終(IP)送信元アドレスと宛先アドレスを伝送し、「外部」IPヘッダーはIPsec「ピア」のアドレス(セキュリティゲートウェイのアドレスなど)を含みます。 ---トンネルモードでは、ESPは、内部IPヘッダー全体を含む内部IPパケット全体を保護します。---次の図は、ESP典型的なIPv4およびIPv6パケット。

        -----------------------------------------------------------
  IPv4  | new IP hdr* |     | orig IP hdr*  |   |    | ESP   | ESP|
        |(any options)| ESP | (any options) |TCP|Data|Trailer| ICV|
        -----------------------------------------------------------
                            |<--------- encryption --------->|
                      |<------------- integrity ------------>|

        ------------------------------------------------------------
  IPv6  | new* |new ext |   | orig*|orig ext |   |    | ESP   | ESP|
        |IP hdr| hdrs*  |ESP|IP hdr| hdrs *  |TCP|Data|Trailer| ICV|
        ------------------------------------------------------------
                            |<--------- encryption ---------->|
                        |<------------ integrity ------------>|

トンネルモードでは、元のIPヘッダーとトランスポート層ヘッダー(必ずしもTCPである必要はありません)の両方が暗号化されるため、ISPはIPsecピアの新しいIPヘッダーのみを表示できます。 ESPヘッダー。したがって、トンネルの外側では、元のヘッダーにIP:portペアがいくつあるかを知ることはできません。(TCP SYN, SYN-ACK, ACKで始まりFIN, FIN-ACK, ACKで終わるセッションがある場合、UDP「セッション」は両端の同じIPアドレスとUDPポートに基づいてのみ推測できます。したがって、UDP接続をアクティブセッションとしてカウントするには、追加が必要です。人工的な接続タイムアウト。)

ただし、同時セッションの量を制限することだけが、ビジネスでの使用を目的とした接続に対してより多くの料金を支払うようにISPが実行できることではありません。 IPsecVPNトンネルを検出してブロックできます。外部IPヘッダー(またはESPヘッダー)も暗号化されていないため、たとえば、プロトコル番号50(ESP)または51(AH、Authentication Header)を持つIPパケットRFC 4302 )は完全に削除される可能性があります。これに対する法的側面は、利用規約であり、そのサイトから-サイトVPNは許可されていません。

1
Esa Jokinen

クライアントがIPSECサイト間VPNトンネルに接続されたモデムのダウンストリームにルーターを提供し、すべてのトラフィックをトンネルの反対側にルーティングした場合、モデムは複数のセッションを監視できますか?

いいえ。すべてのトラフィックは、2つのIPSecエンドポイント間で暗号化されます。オブザーバーは、トンネル内のセッションやその他のものを見ることができません。

0
Ron Trunk