Атрибут TunnelingParameters описывает параметры внешнего IP-заголовка пакета, который добавляется в туннельном режиме IPsec. Если в TunnelingParameters указано более одного элемента,
то элементы используются как альтернативные партнеры. Если не удалось установить IPsec-туннель с партнером, то производится попытка установить туннель со следующим партнером в списке, и так далее до окончания списка.
Синтаксис |
TunnelingParameters* = TunnelEntry |
Значение по умолчанию |
используется туннельный режим |
Предупреждение |
При отсутствии атрибута TunnelingParameters будет использован транспортный режим. Использование транспортного режима вместе с NAT запрещено. Попытка создания такого соединения блокируется с соответствующей диагностикой в журнале аудита.
Это значение по умолчанию, заданное в файле /opt/VPNagent/etc/agent.ini в параметре NATTransport. Данный параметр может принимать следующие значения: • 0 - запрещает создание IPsec SA в транспортном режиме при наличии NAT; • 1 - разрешает создание IPsec SA в транспортном режиме при наличии NAT. Значение по умолчанию для С-Терра Юнит - 0 Значение по умолчанию для С-Терра Клиент А - 0 Значение по умолчанию для С-Терра Шлюз - 1
Для того, чтобы разрешить создание IPsec SA в транспортном режиме при наличии NAT, администратору необходимо: • Изменить значение параметра "NATTransport" с 0 на 1 в файле /opt/VPNagent/etc/agent.ini. • Пересчитать контрольную сумму файла, выполнив команду: integr_mgr calc -f /opt/VPNagent/etc/agent.ini • Перезапустить сервис vpnsvc. На С-Терра Юнит выполните команду для перезапуска сервиса vpngate: service vpngate restart На машине с С-Терра Клиент А выполните команду для перезапуска сервиса vpnclient: systemctl restart vpnclient Примечание 1: Для С-Терра Шлюз, начиная с версии 4.2, возможно установление соединения в транспортном режиме через NAT по RFC 3948, если партнер также поддерживает данный стандарт. Примечание 2: Если устанавливается транспортный режим и при этом используется NAT, то в применяемых с обеих сторон соединения фильтрах, не должно быть ограничения по портам и протоколам. |