Dial-up IPSec eller SSL VPN? - NAT-T bekymmer

DeleriumDive · June 12, 2025, 6:26am

Hej gänget,

Jag är lite rostig på detta, men jag har alltid förstått att de flesta företag byter till SSL-VPN på grund av IPSec-problem med NAT-traversal.

Jag ville bara kolla om detta fortfarande är ett problem med Fortigates nuvarande Dial-up IPSec-implementation? Jag gillar kapaciteten och prestanda hos dessa brandväggar med IPSec, men vill försäkra mig om att mina användare inte kommer att ha några anslutningsstabilitetsproblem hemifrån, på hotspot eller flera uppringda klienter från samma nätverk/ offentlig IP.

Det sista kravet antar jag är en showstopper - från vad jag har läst beror NAT-T på att ESP-paketen kapslas in med käll- och destinationsport 4500, vilket innebär att endast en klient kan fungera åt gången eftersom andra dial-up klienter skulle stöta på den källportssessionen? Bara undrar om några utvecklingar eller förbättringar har gjorts för att kringgå detta problem.

Tack för era insikter!

Redigering: Jag läste precis på Cisco-forumen att det finns något annat än NAT-T som kallas “IPSec-over-UDP”. Något liknande detta kan vara ett mer tillförlitligt alternativ om FortiGate stöder det…

https://community.cisco.com/t5/security-documents/how-does-nat-t-work-with-ipsec/ta-p/3119442

pabechan · June 12, 2025, 6:26am

Klargörandepaket från klienten kan komma från vilken källa som helst och FGT tar emot det utmärkt, så länge det är riktat till FortiGate 4500. Det är vad NAT-traversal är till för. Notera att numera kan en FortiGate hantera ändringar i både källport och IP för dialup-klienter.

Ett mer realistiskt problem är att dina klienter kan hamna på en plats där UDP/500+4500 är blockerat, och då är IPsec utom diskussionen. Å andra sidan, om den platsen ska tillhandahålla internetåtkomst, är det betydligt svårare att blockera SSL-VPN eftersom den körs på TCP/443 och kan smälta in i normalt HTTPS-trafik.

NAT-T beror på att ESP-paketen kapslas in med käll- och destinationsport 4500

det finns något annat än NAT-T som kallas “IPSec-over-UDP”

Du behöver fräscha upp terminologin. Att kapsla ESP-paket i UDP/4500 är standardmetoden för NAT-traversal för IPsec. (ESP är annars ett separat IP-protokoll utan “portar”)
Liknande ändringar sker för IKE-kommunikation, som också switchar till UDP/4500. (vanligen börjar med UDP/500 först)