форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"IPSEC тоннель не работает через NAT"	+/–
Сообщение от oleg627_80 on 08-Июл-10, 12:24
На асе 5510 внешник X.X.X.106. Пытаюсь сделать тоннель снатировав внутренний рутер в X.X.X.107. Команда ната: static (inside,outside) x.x.x.107 192.168.1.10 netmask 255.255.255.255 Натирование проходят, пакеты уходят, но до другого рутера не доходят. Теперь я ставлю отдельную асу 5505, завожу на ней X.X.X.107, натирование по udp портам - пакеты со 107-го уходят, доходят до другого рутера, тоннель работает. Вся разница тока в том что в первом случае 106-ой и 107-ой адреса имеют одинаковый mac адрес. А во втором разные. Неужели из-за этого? P.S. с другим провайдером кстати первая схема работает (только у провайдера берём на один внешний интерфейс две разные подсети.)
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "IPSEC тоннель не работает через NAT"	+/–
Сообщение от sigbat on 08-Июл-10, 13:15
я ничего не понял (с) итак вы статически натируете ип адрес внутреннего роутера на асе туннель терминируется на внуреннем роутере я полагаю ipsec не умеет работать через нат включите на роутере nat traverse
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "IPSEC тоннель не работает через NAT"	+/–
	Сообщение от oleg627_80 on 09-Июл-10, 11:00
	>я ничего не понял (с) >итак вы статически натируете ип адрес внутреннего роутера на асе >туннель терминируется на внуреннем роутере я полагаю >ipsec не умеет работать через нат включите на роутере nat traverse Правильно всё поняли. Туннель терминируется на внутреннем роутере. Теперь я не понял - что значит ipsec не умеет работать через NAT? Если я через отдельную асу (как написано выше), пустил тоннель также через NAT. Вот стат. нат на асе, через которую тоннель не работает: static (inside,outside) х.х.х.107 <ip_local_router> netmask 255.255.255.255 (внешний ip этой асы х.х.х.106) Вот стат. нат на асе, через которую тоннель работает: static (inside,outside) interface <ip_local_router> netmask 255.255.255.255 (внешний ip этой асы х.х.х.107) Разница в том, что в первом случае натирование идёт в другой 107-ой ip (из той же внешней подсети), а во втором случае в ip, присвоенный на внешнем интерфейсе.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема