URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21279
[ Назад ]

Исходное сообщение
"IPSEC тоннель не работает через NAT"

Отправлено oleg627_80 , 08-Июл-10 12:24 
На асе 5510 внешник X.X.X.106. Пытаюсь сделать тоннель снатировав внутренний рутер в X.X.X.107. Команда ната:
static (inside,outside) x.x.x.107 192.168.1.10 netmask 255.255.255.255
Натирование проходят, пакеты уходят, но до другого рутера не доходят.

Теперь я ставлю отдельную асу 5505, завожу на ней X.X.X.107, натирование по udp портам - пакеты со 107-го уходят, доходят до другого рутера, тоннель работает.

Вся разница тока в том что в первом случае 106-ой и 107-ой адреса имеют одинаковый mac адрес. А во втором разные. Неужели из-за этого?

P.S. с другим провайдером кстати первая схема работает (только у провайдера берём на один внешний интерфейс две разные подсети.)


Содержание

Сообщения в этом обсуждении
"IPSEC тоннель не работает через NAT"
Отправлено sigbat , 08-Июл-10 13:15 
я ничего не понял (с)
итак вы статически натируете ип адрес внутреннего роутера на асе
туннель терминируется на внуреннем роутере я полагаю
ipsec не умеет работать через нат включите на роутере nat traverse

"IPSEC тоннель не работает через NAT"
Отправлено oleg627_80 , 09-Июл-10 11:00 
>я ничего не понял (с)
>итак вы статически натируете ип адрес внутреннего роутера на асе
>туннель терминируется на внуреннем роутере я полагаю
>ipsec не умеет работать через нат включите на роутере nat traverse

Правильно всё поняли. Туннель терминируется на внутреннем роутере. Теперь я не понял - что значит ipsec не умеет работать через NAT? Если я через отдельную асу (как написано выше), пустил тоннель также через NAT.

Вот стат. нат на асе, через которую тоннель не работает:
static (inside,outside) х.х.х.107 <ip_local_router> netmask 255.255.255.255
(внешний ip этой асы х.х.х.106)

Вот стат. нат на асе, через которую тоннель работает:
static (inside,outside) interface <ip_local_router> netmask 255.255.255.255
(внешний ip этой асы х.х.х.107)

Разница в том, что в первом случае натирование идёт в другой 107-ой ip (из той же внешней подсети), а во втором случае в ip, присвоенный на внешнем интерфейсе.