Questão Q830247

Uma das dificuldades de usar IPSec como solução de VPN é a sua dificuldade em passar por redes usando NAT.

Uma solução frequente para contornar esse problema é o uso de IPSec:

Alternativas

apenas em modo transporte;

sem o protocolo AH, pois nele se concentra a incompatibilidade com NAT;

com ICMP como protocolo de transporte (ipsec sobre icmp);

com UDP como protocolo de transporte (ipsec sobre udp);

juntamente com tuneis GRE.

Comentários

Questões da FGV fazem eu me sentir um "analfabeto" em termos de TI.
o encapsulamento UDP reinicia um pacote IPSec num novo cabeçalho duplicado de IP/UDP. O endereço no novo cabeçalho de IP é convertido quando passa pelo dispositivo NAT. Em seguida, quando o pacote chega ao destino, a parte destinatária decompõe o cabeçalho adicional, deixando o pacote IPSec original, que irá passar agora por todas as restantes validações.
A solução: Encapsulamento UDP

Em resumo, o encapsulamento UDP reinicia um pacote IPSec num novo cabeçalho duplicado de IP/UDP. O endereço no novo cabeçalho de IP é convertido quando passa pelo dispositivo NAT. Em seguida, quando o pacote chega ao destino, a parte destinatária decompõe o cabeçalho adicional, deixando o pacote IPSec original, que irá passar agora por todas as restantes validações.

Apenas pode aplicar encapsulamento UDP a VPNs que vão utilizar ESP IPSec em modo de túnel ou modo de transporte. Além disso, o sistema só pode agir como cliente para encapsulamento UDP. Isto é, apenas pode iniciar tráfego encapsulado UDP.

Fonte: https://www.ibm.com/support/knowledgecenter/pt/ssw_ibm_i_72/rzaja/rzajaudpencap.htm

SóProvas