<div dir="ltr"><span style="font-size:13px">HI All,</span><div style="font-size:13px"><br></div><div style="font-size:13px">I have a query for scenario mentioned in RFC 4555 Sectoin 3.3.</div><div style="font-size:13px">Any input or reference will be appreciated...</div><div style="font-size:13px"><br></div><div style="font-size:13px"><br></div><div style="font-size:13px">Query is regarding Responder's behavior w.r.t to UDP encapsulation of Ikev2/ESP when all exchange till IKE_Auth completion is done on port 500...</div><div style="font-size:13px"><br></div><div style="font-size:13px"><br></div><div style="font-size:13px">Details:</div><div style="font-size:13px"><i><font size="1"><font face="arial, helvetica, sans-serif">"<span style="color:rgb(0,0,0);white-space:pre-wrap">The addresses are taken from the IKE_AUTH request because IKEv2 </span></font><span style="font-family:arial,helvetica,sans-serif;color:rgb(0,0,0);white-space:pre-wrap">requires changing from port 500 to 4500 if a NAT is discovered.  To </span><span style="font-family:arial,helvetica,sans-serif;color:rgb(0,0,0);white-space:pre-wrap">simplify things, implementations that support <span style="background-color:rgb(255,255,0)">both this specification </span></span><span style="font-family:arial,helvetica,sans-serif;color:rgb(0,0,0);white-space:pre-wrap;background-color:rgb(255,255,0)">and NAT Traversal MUST change to port 4500 if the correspondent also </span><span style="font-family:arial,helvetica,sans-serif;color:rgb(0,0,0);white-space:pre-wrap"><span style="background-color:rgb(255,255,0)">supports both, even if no NAT was detected between them</span> (this way, </span><span style="font-family:arial,helvetica,sans-serif;color:rgb(0,0,0);white-space:pre-wrap">there is no need to change the ports later if a NAT is detected on </span><span style="font-family:arial,helvetica,sans-serif;color:rgb(0,0,0);white-space:pre-wrap">some other path).</span><span style="font-family:arial,helvetica,sans-serif">"</span></font></i></div><div style="font-size:13px"><br></div><div style="font-size:13px">Crux of this para is that if NAT traversal and mobike both are supported at both IPsec end-points, then implementation shall change to port 4500.</div><div style="font-size:13px"><br></div><div style="font-size:13px">Both peers support NAT traversal will be found at IKE_SA_INIT exchange and Mobike support will be found after IKE_AUTH exchange is done.. </div><div style="font-size:13px"><br></div><div style="font-size:13px">In case of multi-round AUTH like EAP-AKA, initiator will get to know responder's mobike capability in last round of IKE_Auth response when it sends Mobike_supported as per RFC4555 Section 3.3</div><div style="font-size:13px"><br></div><div style="font-size:13px">Hence initiator will use port 4500 only for IKEv2 message after IKE_Auth completion.</div><div style="font-size:13px">i.e in any Ikev2 message like CREATE_CHILDSA_* or DPD..</div><div style="font-size:13px"><br></div><div style="font-size:13px"><font color="#000000" style="background-color:rgb(255,255,0)">I am doubtful regarding Responder behavior after IKE_AUTH completion..</font></div><div style="font-size:13px"><font color="#000000" style="background-color:rgb(255,255,0)">Shall responder use port 4500 for any IKEv2 request/UDP encapsulated ESP packet towards initiator right after IKE_AUTH completion or wait till initiator sends some Ikev2 packet with port 4500...</font></div></div>