NAT를 통해 두 개의 Juniper SRX 라우터 사이에 IPsec VPN 터널을 설정했으며 NAT는 방화벽(Linux 서버)에 의해 수행되었습니다. IPsec VPN 트래픽 통과를 허용하도록 방화벽 규칙을 구성하려고 시도할 때 UDP 포트 500 및 4500이 허용되어 IKE 협상이 성공적으로 완료되는 동안 ESP를 허용하는 규칙을 추가하지 않으면 VPN 트래픽 통신이 작동하지 않는다는 것을 발견했습니다.
다음은 방화벽에 적용한 규칙이지만 IKE 협상만 완료되었습니다.
iptables -F
iptables -P FORWARD DROP
# Inbound
iptables -I FORWARD -s <External IP address> -d <Internal IP address> -p udp --sport 500 -j ACCEPT
iptables -I FORWARD -s <External IP address> -d <Internal IP address> -p udp --sport 4500 -j ACCEPT
# Outbound
iptables -I FORWARD -s <Internal IP address> -d <External IP address> -p udp --sport 500 -j ACCEPT
iptables -I FORWARD -s <Internal IP address> -d <External IP address> -p udp --sport 4500 -j ACCEPT
그리고 VPN 터널을 통해 데이터를 성공적으로 전송하기 위해서는 다음 두 가지 규칙도 설정해야 합니다.
iptables -I FORWARD -s <External IP address> -d <Internal IP address> -p 50 -j ACCEPT
iptables -I FORWARD -s <Internal IP address> -d <External IP address> -p 50 -j ACCEPT
ESP 데이터는 UDP 헤더에 의해 캡슐화되므로(여기서 제공되는 것은내 방화벽에서 캡처된 VPN 통신 패킷), 규칙에서 ESP를 허용하지 않고 방화벽이 터널 트래픽을 차단하는 이유는 무엇입니까? 내 예상으로는 방화벽이 패킷에 UDP 포트 4500 헤더가 포함되어 있음을 확인하면 그에 따라 패킷을 수락해야 합니다.
