ipsec对接后为啥源端口会变呢？不是应该4500或500么？

hanhui7413

ipsec对接后为啥源端口会变呢？不是应该4500或500么？谢谢

xibanya

hanhui7413 发表于 2023-4-4 15:02
我是想 发起端跟 目标端 都是 以 500  4500去协商。

你实际ipsec设备本来就是用的500 4500去发起的ike协商。最开始以500协商，报文一交互，发现经过了nat设备，于是使用4500协商。
这里显示的是该台设备经过路由snat后的源端口，不是你这台设备协商所用的实际端口。你路由器后面的那台设备，源端还是4500，只不过过了爱快给你做了源端口转换

也就是，你的ipsec设备沿途经过了nat-t，源4500转换成了你看到的25001这个端口

对端和你路由器后面的这个设备，ike协商及esp传输的目的端口就是udp25001，到了路由器再给你做一次dnat
你去抓包路由后面的ipsec设备，就能看到，ike跟esp的源端口就是4500

爱快技术支持01

楼主您好，源端口是您这边数据的发起端口，转发至目的端口4500；源端口指的是本地数据发起端口，如您本地是80则此处就会显示80端口

hanhui7413

爱快技术支持01 发表于 2023-4-4 14:48
楼主您好，源端口是您这边数据的发起端口，转发至目的端口4500；源端口指的是本地数据发起端口，如您本地是 ...

我知道源是本端，关键这个端口不是应该是4500或500 他怎么会去变成其他

cryamethy

hanhui7413 发表于 2023-4-4 14:50
我知道源是本端，关键这个端口不是应该是4500或500 他怎么会去变成其他

4500、500是IPSEC的目的端口

hanhui7413

我是想 发起端跟 目标端 都是 以 500  4500去协商。