Атрибут TCPEncapsulation позволяет установить режим инкапсуляциии IKE и IPsec-пакетов. Установка флага со стороны инициатора SA вызывает инкапсуляцию IKE и IPsec в TCP-пакеты.
В режиме ответчика данный флаг не используется: если партнер предлагает построить SA в режиме TCP-инкапсуляции, то локальное устройство всегда соглашается на построение такого SA.
Включать TCP-инкапсуляцию нужно, если канал между Шлюзом и Клиентом не пропускает IKE и IPsec пакеты, так как операция TCP-инкапсуляции может значительно влиять на производительность Шлюза.
Количество Клиентов с TCP-инкапсуляцией, подключаемых к одному Шлюзу, рекомендуется выставлять на уровне 10% от общего числа подключаемых Клиентов.
В случае построения SA с использованием TCP-инкапсуляции значение флага ReRoute игнорируется.
Синтаксис |
TCPEncapsulation = TRUE | FALSE |
Значение |
• TRUE – включает режим инкапсуляции IKE и IPsec пакетов в TCP. • FALSE – указывает, что IKE и IPsec пакеты не будут инкапсулироваться в TCP. |
Значение по умолчанию |
FALSE |
Примечание 1 |
Для С-Терра Шлюз: значение параметра TCPEncapsulation
равное TRUE означает, что
инициатор создания соединения, использующего данное правило туннелирования,
должен начинать IKE обмен
сразу в режиме TCP-инкапсуляции. |
Примечание 2 |
Для С-Терра Шлюз DP TCP-инкапсуляциии не используется. |
При настройке необходимо обеспечить наличие фильтров, пропускающих TCP-инкапсулированный трафик.
Например:
Filter( ProtocolID=17 SourcePort=500,4500 Action=PASS PacketType=LOCAL_UNICAST,LOCAL_MISDIRECTED ),
Filter( ProtocolID=6 SourcePort=8080 Action=PASS PacketType=LOCAL_UNICAST,LOCAL_MISDIRECTED ),
Filter( ProtocolID=6 DestinationPort=8080 Action=PASS PacketType=LOCAL_UNICAST,LOCAL_MISDIRECTED ),
Для успешного создания TCP-соединения, у партнеров по соединению должны совпадать параметры, задающие TCP-порт в файле vpnproxy.ini:
Параметр LocalPort задает TCP-порт для прослушивания внешних HTTP-запросов и создания новых TCP-соединений в режиме ответчика (сервера).
Параметр DefaultTCPPort задает TCP-порт партнёра для создания новых TCP соединений в режиме инициатора (клиента).
Примечание 1 |
Если на С-Терра Шлюз в файле /opt/VPNagent/etc/vpnproxy.ini в секции HTTP значение параметра LocalPort отличается от установленного по умолчанию (8080) и не равно 0, то на стороне партнера значение TCP-порта, заданное в файле vpnproxy.ini в секции Internal NAT для параметра DefaultTCPPort, должно совпадать со значением LocalPort на шлюзе. |
Примечание 2 |
Для С-Терра Шлюз: При наличии TCPEncapsulation хотя бы в одном туннеле внутри IPsecAction, запрещено использовать AHProposal в поле ContainedProposals этого IPsecAction. |
При использовании AHProposal локальная политика безопасности не загрузится и выдастся сообщение типа:
Error: Unable to activate LSP: line 163: structure 'IPsecAction' 'ipsec_action_02' is not accepted: AHProposal is not compatible with TCPEncapsulation