IPsec用IPtablesを使用してフルコンNATをキャンセルする

IPsec用IPtablesを使用してフルコンNATをキャンセルする

現在、Oracle Cloudでホストされている無料のVPSがあります。このシステムは、アドレス範囲が10.0.0.0/8(正確には10.0.0.19)の仮想LANである「仮想クラウドネットワーク」にあります。

現実世界と通信するためにパブリックプライベートIPv4がありますが、203.0.113.1だとしましょう。ゲートウェイはフルコーン1:1 NATを適用するため、プロトコルとポート(該当する場合)に関係なく、この203.0.113.1 IPに送信されたすべてのパケットがコンピュータに転送されます。

ただし、このNATは、ターゲットIPが実際の正規IP 203.0.113.1ではなく10.0.0.19に置き換えられることを意味します。これは、ターゲットIPに興味のないほとんどのサービス(HTTPS、SSHなど)では問題になりません。

ただし、IPsecの場合、これは問題になります。 IPsecは、コンピュータにパブリックにルーティング可能なIPアドレスが割り当てられると予想し、接続要求の宛先IPを使用してクライアントが接続されている場所を報告します。これにより、クライアントは10.0.0.19に接続しようとしますが、当然失敗します。

一種の仮想アダプタ(ループバックアダプタなど)を作成し、インターネットからそのアダプタにパケットを転送して、10.0.0.19 IPを実際のIP 203.0.113.1に置き換えて、IPsecが機能するようにすることはできますか?

ベストアンサー1

注目を集めているようです。

Androidでは、デスクトップコンピュータにアクセスできず、使用していたシステムで接続しようとすると、約1分ほどプロセスが続いて失敗する現象が発生しました。したがって、エラーが発生するのにかかる時間を考慮すると、これは接続の再試行とタイムアウトによるものであると仮定します。

ただし、Windows コンピュータでは、コンピュータが証明書を信頼しないため、エラー 13801 がシステム ログに直ちに発生します。

Wiresharkを使用するMitMは、OpenIKEDデーモンが途中でLet's Encryptで使用されているコンテンツを正しく送信しなかったため、システムが信頼できないことを証明します。

おすすめ記事