Атрибут TCPEncapsulation позволяет установить режим инкапсуляциии IKE и IPsec-пакетов. Установка флага со стороны инициатора SA вызывает инкапсуляцию IKE и IPsec в TCP-пакеты. В режиме ответчика данный флаг не используется: если партнер предлагает построить SA в режиме TCP-инкапсуляции, то локальное устройство всегда соглашается на построение такого SA.
Включать TCP-инкапсуляцию нужно, если канал между Шлюзом и Клиентом не пропускает IKE и IPsec пакеты, так как операция TCP-инкапсуляции может значительно влиять на производительность Шлюза. Количество Клиентов с TCP-инкапсуляцией, подключаемых к одному Шлюзу, рекомендуется выставлять на уровне 10% от общего числа подключаемых Клиентов.
В случае построения SA с использованием TCP-инкапсуляции значение флага ReRoute игнорируется.
Синтаксис |
TCPEncapsulation = TRUE | FALSE |
Значение |
TRUE – включает режим инкапсуляции IKE и IPsec пакетов в TCP. Значение параметра TCPEncapsulation равное TRUE означает, что инициатор создания соединения, использующего данное правило туннелирования, должен начинать IKE обмен сразу в режиме TCP-инкапсуляции. Все последующие IKE и IPsec обмены, относящиеся к данному правилу туннелирования, также обязаны использовать (а также требовать от партнера) инкапсуляцию трафика в TCP FALSE – указывает, что IKE и IPsec пакеты не будут инкапсулироваться в TCP |
Значение по умолчанию |
FALSE |
Примечание |
Для маршрутизаторов серии ESR и Шлюза DP режим TCP-инкапсуляциии не используется. |
При настройке необходимо обеспечить наличие фильтров, пропускающих TCP-инкапсулированный трафик. Например:
Filter( ProtocolID=17 SourcePort=500,4500 Action=PASS
PacketType=LOCAL_UNICAST,LOCAL_MISDIRECTED ),
Filter( ProtocolID=6 SourcePort=8080 Action=PASS
PacketType=LOCAL_UNICAST,LOCAL_MISDIRECTED ),
Filter( ProtocolID=6 DestinationPort=8080 Action=PASS
PacketType=LOCAL_UNICAST,LOCAL_MISDIRECTED ),
Для успешного создания TCP-соединения, у партнеров по соединению должны совпадать параметры, задающие TCP-порт в файле vpnproxy.ini:
Если на шлюзе в файле /opt/VPNagent/etc/vpnproxy.ini в секции HTTP значение параметра LocalPort отличается от установленного по умолчанию (8080) и не равно 0, то на стороне партнера значение TCP-порта, заданное в файле vpnproxy.ini в секции Internal NAT для параметра DefaultTCPPort, должно совпадать со значением LocalPort на шлюзе.
Параметр LocalPort задает TCP-порт для прослушивания внешних HTTP-запросов и создания новых TCP соединений в режиме ответчика (сервера).
Параметр DefaultTCPPort задает TCP-порт партнёра для создания новых TCP соединений в режиме инициатора (клиента).
При наличии TCPEncapsulation хотя бы в одном туннеле внутри IPsecAction, запрещено использовать AHProposal в поле ContainedProposals этого IPsecAction.