何时在基于Azure策略的基本VNet网关，IKEv1站点到站点连接上执行NAT-T命名

Question

我对使用Azure的Cisco ASA和Checkpoint系统的IKEv1 VPN提出了奇怪的要求。

我们设置了两个基于Azure策略的VNet网关，虚拟网络和关联的虚拟机。

每个测试和生产环境的连接必须是IKEv1 AES-256-SHA1-DHGroup2站点到站点的连接，因此我们为测试和生产设置了一个。

第三方系统不支持VPN隧道（加密域）和/或Peer中的RFC1918寻址。 VPN隧道必须有公共分配的IP地址，对等方必须有公共路由的IP地址。

他们建议在隧道协商中使用子网，并使用访问列表将其范围缩小到特定主机（子网SA与主机SA）。 如果您需要“隐藏”单个IP地址后面的多个主机，则应使用公共分配的地址进行PAT，以将其包括在VPN隧道中。 由于全局配置项会影响多个客户，因此不支持NAT-T（IPSEC的UDP封装）。

我的问题是，在站点到站点（S2S）连接上以基于策略（IKEv1）模式连接到Azure虚拟网络网关时，何时执行NAT-T？ 它是完成的还是何时执行的？ 仅在前面有负载均衡器时才执行吗？

Answer 1

澄清一下：您是否通过了以下建议：站点到站点–通过IPsec（IKE v1和IKE v2）的VPN连接。 此类连接需要VPN设备或RRAS。 有关更多信息，请参见站点到站点： https : //docs.microsoft.com/zh-cn/azure/vpn-gateway/vpn-gateway-howto-site-to-site-resource-manager-portal

点对站点–通过SSTP（安全套接字隧道协议）的VPN连接。 此连接不需要VPN设备。 有关更多信息，请参见指向站点： https : //docs.microsoft.com/zh-cn/azure/vpn-gateway/vpn-gateway-howto-point-to-site-resource-manager-portal

VNet到VNet –这种连接类型与站点到站点配置相同。 VNet到VNet是通过IPsec（IKE v1和IKE v2）的VPN连接。 它不需要VPN设备。 有关更多信息，请参见VNet-to-VNet： https ://docs.microsoft.com/zh-cn/azure/vpn-gateway/vpn-gateway-howto-vnet-vnet-resource-manager-portal

多站点–这是站点到站点配置的一种变体，它使您可以将多个本地站点连接到虚拟网络。

只有指定的虚拟网络“本地网络IP地址”范围中包含目标IP的流量才会通过虚拟网络网关。 流量具有位于虚拟网络内的目标IP并停留在虚拟网络内。 其他流量通过负载平衡器发送到公共网络，或者如果使用强制隧道，则通过Azure VPN网关发送

Answer 2

我想我试图在MSDN论坛上回答相同的问题。 只需重申一下答案即可：

1. NAT-T在IPsec数据包的外部数据包/地址上执行。
2. Azure VPN网关不对传入/传出IPsec隧道的内部数据包执行任何NAT / PAT功能。 因此，如果您在本地网络和Azure虚拟网络内部使用公用IP地址，则它们将与Azure VPN网关和IPsec隧道之间保持相同。
3. 您可以将公用IP地址空间用作Azure VM / Azure虚拟网络上的“专用” IP地址。 Azure VPN网关会将这些地址视为“专用”地址。 我们不会对那些内部数据包进行NAT。

希望这可以帮助。

谢谢，玉顺[MSFT]