Domande frequenti
Perché la mia connessione esistente smette di funzionare non appena configuro più tunnel VPN sul gateway VPN?
Quando un server IKE riceve una richiesta di connessione e sono configurati più tunnel VPN IKE su tale server, sorge il problema che il server debba decidere quale tunnel è l'obiettivo di questa richiesta e spesso deve basare tale decisione solo sulle informazioni disponibili nel pacchetto molto veloce. Conoscere il tunnel corretto è importante poiché la configurazione del tunnel definisce i parametri crittografici nonché la chiave precondivisa o i certificati da utilizzare. Le informazioni che saranno disponibili nel primissimo pacchetto dipendono dalla modalità di scambio scelta.
In Modalità Principale, il primo pacchetto contiene un elenco di algoritmi di crittografia, algoritmi hash, gruppi DH, il tipo desiderato di autenticazione (chiave precondivisa o certificati, ma né la chiave stessa né i certificati, entrambi convalidati in seguito), nonché informazioni se XAUTH deve essere eseguito, può essere eseguito facoltativamente o non è supportato. Inoltre, può vedere l'indirizzo IP del mittente dal pacchetto di rete nonché l'indirizzo IP a cui questo pacchetto è stato inviato (poiché un gateway potrebbe avere più di un indirizzo). Ora deve decidere su un tunnel solo in base a queste informazioni. Poiché la modalità principale viene tipicamente utilizzata per le connessioni statiche da gateway a gateway e i gateway hanno tipicamente un indirizzo IP fisso o almeno un nome DNS fisso (possibilmente "dinamico"), la maggior parte dei server basa la propria decisione solo sull'indirizzo IP del mittente. Nel caso in cui un gateway VPN consenta anche agli utenti mobili di connettersi utilizzando la modalità principale, consentirà solo una connessione (che verrà sempre utilizzata quando l'indirizzo IP del mittente non corrisponde a nessun altro tunnel IKE configurato) o ne consentirà più di uno e quindi tenterà di indovinare quello corretto esclusivamente in base alle impostazioni di connessione offerte nel primo pacchetto. Se queste impostazioni corrispondono a più di un tunnel, uno qualsiasi di essi può vincere, il che può facilmente causare il targeting del tunnel sbagliato.
In Modalità Aggressiva, le stesse informazioni sono disponibili ma in aggiunta viene inviato nel primo pacchetto anche l'identificatore locale (tipo e valore). Poiché quest'ultimo può essere scelto liberamente ed è anche facile renderlo univoco per ogni tunnel, la maggior parte dei gateway baserà la propria decisione esclusivamente su questo identificatore in modalità aggressiva. Pertanto, è fondamentalmente più facile utilizzare più connessioni VPN utente utilizzando la modalità aggressiva. Tutto ciò che è necessario è configurare un identificatore remoto univoco per ciascuno di essi e quindi utilizzare questo identificatore remoto come identificatore locale nel client (ciò che è remoto per il gateway è locale per il client e viceversa).