IPSEC + NAT, zzzzzak, 11-Июн-09, 14:17 [смотреть все]Привет всем!!! Ситуация такая: два маршрутизатора, меду ними ipip туннель. На этот туннель наложен ipsec. примерно так:Router1(int tunnel0)-----ipsec-----Router2(int tunnel0) Конфигурация зеркальная на маршрутизаторах: interface tunnel 0 ip address .... tunnel source ... tunnel dest ... tunnel mode ipip crypto map MAP ip route .... tunnel 0 Кога трафик приходит на один из маршрутизаторов - его надо натить. Соответственно пишу на интерфейсе tunnel 0: ip nat inside И бац, проблема - трафик не натится. Если с интерфейса убрать крипто мап, оставить туннель чисто ipip - трафик натится, все клево. Стоит трафик зашифровать - нат кажет фигу. Люди добрые, никто не знает в чем может быть проблема??? Заранее спасибо за ответыю
|
- IPSEC + NAT, Николай, 17:48 , 12-Июн-09 (1)
>[оверквотинг удален] > >ip nat inside > >И бац, проблема - трафик не натится. Если с интерфейса убрать крипто >мап, оставить туннель чисто ipip - трафик натится, все клево. Стоит >трафик зашифровать - нат кажет фигу. > >Люди добрые, никто не знает в чем может быть проблема??? > >Заранее спасибо за ответыю 1. почему выбрана такая конструкция, а не tunnel mode ipsec ipv4 tunnel protection ipsec profile ИМЯ 2. Что хотите натить тунельнолье окончание или трафик внутри тунеля (может это и ответ ;))?
- IPSEC + NAT, zzzzzak, 11:31 , 13-Июн-09 (2)
>1. почему выбрана такая конструкция, а не > tunnel mode ipsec ipv4 > tunnel protection ipsec profile ИМЯ Потому что на одной из сторон иос версии 12.2, и он не умеет делать туннели ipsec ipv4. >2. Что хотите натить тунельнолье окончание или трафик внутри тунеля (может это >и ответ ;))? Натить надо именно тот трафик, который шифруется внутри туннеля. Расширю немного схему: subnet1--Router1(int tunnel0)---ipsec---(int tunnel0)Router2--ROUTERX(firewall)--subnetx Клиенты из subnet1 должны обращаться к неким ресурсам из subnetx. Но т.к. на ROUTERX стоит файрвол, он разрешает только те адреса, в которые должны натится адреса из subnet1 на ROUTER2. На ROUTER2 создан пул адресов, которые разрешены на ROUTERX. Вот меня и мучает вопрос, почему трафик не натится, если на interface tunnel вешать крипто мап?
- IPSEC + NAT, zzzzzak, 15:24 , 15-Июн-09 (3)
Люди добрые, кто ж подскажет, как занатить такой трафик???
|