IKEv1
在5.0.0以前,NAT发现和穿透需要在配置文件ipsec.conf设置:nat_traversal=yes。此外strongSwan 4.x's IKEv1 pluto daemon不接受非500UDP来源端口的IKE包。自从5.0.0charon daemon用来处理IKEv1通讯,charon daemon依据RFC3947支持NAT穿透。
IKEv2
IKEv2协议核心标准包含了NAT穿透,不需要选择实现。StrongSwan实现了IKEv2协议,不需要任何配置。包含在IKE_SA_INIT交换的NAT_DETECTION_SOURCE/DESTINATION_IP指明点对点NAT穿透能力,当NAT被侦查到,为IPSec自动激活UDP封装。
当位于NAT路由后面,为了保持在NAT设备上映射完整,StrongSwan开始发送保持连接的包。
在5.0.0以前,NAT发现和穿透需要在配置文件ipsec.conf设置:nat_traversal=yes。此外strongSwan 4.x's IKEv1 pluto daemon不接受非500UDP来源端口的IKE包。自从5.0.0charon daemon用来处理IKEv1通讯,charon daemon依据RFC3947支持NAT穿透。
IKEv2
IKEv2协议核心标准包含了NAT穿透,不需要选择实现。StrongSwan实现了IKEv2协议,不需要任何配置。包含在IKE_SA_INIT交换的NAT_DETECTION_SOURCE/DESTINATION_IP指明点对点NAT穿透能力,当NAT被侦查到,为IPSec自动激活UDP封装。
当位于NAT路由后面,为了保持在NAT设备上映射完整,StrongSwan开始发送保持连接的包。
