我对使用Azure的Cisco ASA和Checkpoint系统的IKEv1 VPN有一个奇怪的要求 .
我们设置了两个基于Azure策略的VNet网关,虚拟网络和关联的虚拟机 .
连接必须是每个测试和 生产环境 环境的IKEv1 AES-256-SHA1-DHGroup2站点到站点连接,因此我们设置一个用于测试和 生产环境 .
第三方系统不支持VPN隧道(加密域)和/或对等体内的RFC1918寻址 . 必须为VPN隧道公开分配IP地址,以及为对等方公开路由的IP地址 . 他们建议在隧道协商中使用子网,并使用您的访问列表将其缩小到特定主机(子网SA与主机SA) . 如果您需要在单个IP地址后面“隐藏”多个主机,则应使用公共分配的地址将PAT包含在VPN隧道中 . 由于影响多个客户的全局配置项,因此不支持NAT-T(IPSEC的UDP封装) .
我的问题是,在站点到站点(S2S)连接上以基于策略的(IKEv1)模式连接到Azure虚拟网络网关时,NAT-T何时执行?是完成还是什么时候完成?是否仅在前面有负载 balancer 器时执行?
2 回答
我想我试着在MSDN论坛上回答相同的问题 . 只需重新回答答案:
对IPsec数据包的外部数据包/地址执行NAT-T .
Azure VPN网关不对IPsec隧道内/外的内部数据包执行任何NAT / PAT功能 . 因此,如果您在本地网络和Azure虚拟网络中使用公共IP地址,则它们将与Azure VPN网关和IPsec隧道保持相同 .
您可以在Azure VMs / Azure虚拟网络上使用公共IP地址空间作为"private" IP地址 . 这些将被Azure VPN网关视为"private"地址 . 我们不会对那些内部数据包进行NAT .
希望这可以帮助 .
谢谢,Yushun [MSFT]
澄清一下:你是否经历过这个建议:站点到站点 - 通过IPsec的VPN连接(IKE v1和IKE v2) . 此类连接需要VPN设备或RRAS . 有关更多信息,请参阅站点到站点:https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-howto-site-to-site-resource-manager-portal
点到站点 - SSTP上的VPN连接(安全套接字隧道协议) . 此连接不需要VPN设备 . 有关更多信息,请参阅指向站点:https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-howto-point-to-site-resource-manager-portal
VNet-to-VNet - 此类连接与站点到站点配置相同 . VNet到VNet是通过IPsec的VPN连接(IKE v1和IKE v2) . 它不需要VPN设备 . 有关更多信息,请参阅VNet到VNet:https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-howto-vnet-vnet-resource-manager-portal
多站点 - 这是站点到站点配置的变体,允许您将多个本地站点连接到虚拟网络 .
只有您指定的虚拟网络本地网络IP地址范围中包含目标IP的流量才会通过虚拟网络网关 . 流量具有位于虚拟网络内的目的地IP保持在虚拟网络内 . 其他流量通过负载均衡器发送到公共网络,或者如果使用强制隧道,则通过Azure VPN网关发送