Application de Firewall Friendly VPN

présence et l’emplacement d’une ou plusieurs unité(s) NAT au milieu d’une connexion VPN. Si un NAT est détecté, IKE s’écoule du port 500 au port 4500 pour mettre fin à la négociation IKE. IKE envoie aussi des paquets de survie, que l’on peut assimiler aux battements de coeur du tunnel.

Un paquet IPsec est enveloppé à l’intérieur d’un nouvel en-tête IP/UDP puis envoyé sur le port UDP 4500 par un processus appelé encapsulation UDP. Lorsqu’elle traverse l’unité NAT, l’adresse du nouvel en-tête IP est traduite. Le nouveau port UDP est utilisé pour Masquerade NAT. Quand le paquet atteint sa destination, l’extrémité réceptrice enlève l’en-tête UDP, et le paquet IPsec original est décrypté.

La solution décrite dans le paragraphe précédent ne s’applique qu’aux paquets ESP en mode tunnel ou transport. AH a des problèmes d’incompatibilité avec NAT et ces deux standards ne peuvent pas les résoudre. La figure 3 montre le format d’un paquet ESP encapsulé UDP en mode tunnel et en mode transport. La figure 4 montre le flux sortant et entrant de l’encapsulation UDP.