На асе 5510 внешник X.X.X.106. Пытаюсь сделать тоннель снатировав внутренний рутер в X.X.X.107. Команда ната:
static (inside,outside) x.x.x.107 192.168.1.10 netmask 255.255.255.255
Натирование проходят, пакеты уходят, но до другого рутера не доходят.

Теперь я ставлю отдельную асу 5505, завожу на ней X.X.X.107, натирование по udp портам - пакеты со 107-го уходят, доходят до другого рутера, тоннель работает.

Вся разница тока в том что в первом случае 106-ой и 107-ой адреса имеют одинаковый mac адрес. А во втором разные. Неужели из-за этого?

P.S. с другим провайдером кстати первая схема работает (только у провайдера берём на один внешний интерфейс две разные подсети.)

• IPSEC тоннель не работает через NAT,sigbat, 13:15 , 08-Июл-10
  • IPSEC тоннель не работает через NAT,oleg627_80, 11:00 , 09-Июл-10

я ничего не понял (с)
итак вы статически натируете ип адрес внутреннего роутера на асе
туннель терминируется на внуреннем роутере я полагаю
ipsec не умеет работать через нат включите на роутере nat traverse

>я ничего не понял (с)
>итак вы статически натируете ип адрес внутреннего роутера на асе
>туннель терминируется на внуреннем роутере я полагаю
>ipsec не умеет работать через нат включите на роутере nat traverse

Правильно всё поняли. Туннель терминируется на внутреннем роутере. Теперь я не понял - что значит ipsec не умеет работать через NAT? Если я через отдельную асу (как написано выше), пустил тоннель также через NAT.

Вот стат. нат на асе, через которую тоннель не работает:
static (inside,outside) х.х.х.107 <ip_local_router> netmask 255.255.255.255
(внешний ip этой асы х.х.х.106)

Вот стат. нат на асе, через которую тоннель работает:
static (inside,outside) interface <ip_local_router> netmask 255.255.255.255
(внешний ip этой асы х.х.х.107)

Разница в том, что в первом случае натирование идёт в другой 107-ой ip (из той же внешней подсети), а во втором случае в ip, присвоенный на внешнем интерфейсе.