NAT с IPsec-туннелем между сайтами не работает
-
Привет, ребята,
у меня есть еще одна проблема :P. В моем проекте у меня есть 2 маршрутизатора Edge, подключенных к ISP, эти 2 сети являются NAT, и между этими 2 локациями у меня настроен туннель Ipsec. Связь между этими 2 локациями работает отлично, но я не могу получить доступ к серверу за сетью NAT, когда я пытаюсь проверить мой NAT-перевод, он не работает. Надеюсь, вы мне с этим поможете. ![nowakkacper99_0-1737977069751.png] Я добавляю свой проект.
-
@nowak-kacper99 Я запустил его в одном лаге, вы можете ответить в другом лаге, если нужно. Ключевые моменты: Был один ACL, соответствующий «ip any any» для IPSEC. Это означает, что любой трафик, покидающий маршрутизатор, будет отправлен в туннель IPSEC. Я создал новый ACL, соответствующий только нужному трафику. access-list 101 permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 Этот ACL должен быть на обоих маршрутизаторах IPSEC. Затем я создал новый ACL для NAT access-list 100 permit ip 192.168.120.0 0.0.0.255 214.62.13.0 0.0.0.255 И я помещаю оператор NAT следующим образом ip nat inside source list 100 interface Serial0/1/0 overload Теперь туннель по-прежнему активен Router#sh crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id slot status 20.20.20.1 30.30.30.1 QM_IDLE 1030 0 ACTIVE Во время работы NAT. Router#sh ip nat translations Pro Внутри глобальный Внутри локальный Вне локальный Вне глобальный icmp 30.30.30.1:458 192.168.120.9:458 214.62.13.2:458 214.62.13.2:458 icmp 30.30.30.1:459 192.168.120.9:459 214.62.13.2:459 214.62.13.2:459 icmp 30.30.30.1:460 192.168.120.9:460 214.62.13.2:460 214.62.13.2:460 icmp 30.30.30.1:461 192.168.120.9:461 214.62.13.2:461 214.62.13.2:461 icmp 30.30.30.1:462 192.168.120.9:462 214.62.13.2:462 214.62.13.2:462 icmp 30.30.30.1:463 192.168.120.9:463 214.62.13.2:463 214.62.13.2:463 icmp 30.30.30.1:464 192.168.120.9:464 214.62.13.2:464 214.62.13.2:464 icmp 30.30.30.1:465 192.168.120.9:465 214.62.13.2:465 214.62.13.2:465 icmp 30.30.30.1:466 192.168.120.9:466 214.62.13.2:466 214.62.13.2:466 icmp 30.30.30.1:467 192.168.120.9:467 214.62.13.2:467 214.62.13.2:467 icmp 30.30.30.1:468 192.168.120.9:468 214.62.13.2:468 214.62.13.2:468 icmp 30.30.30.1:469 192.168.120.9:469 214.62.13.2:469 214.62.13.2:469
-
@nowak-kacper99 Чтобы исправить другую задержку, вам необходимо добавить следующее утверждение ACL в ACL. В данном случае я исправил для VLAN220_ACL, но если вы намерены разрешить NAT также для других VLAN, повторите процесс в других ACL. Просто добавьте эту строку в любой ACL, который вы хотите разрешить для трафика из локальной сети в DC. ip access-list extended VLAN220_ACL permit udp any eq bootpc any permit icmp 192.168.220.0 0.0.0.255 192.168.100.0 0.0.0.255 echo-reply permit icmp 192.168.220.0 0.0.0.255 192.168.120.0 0.0.0.255 разрешить icmp 192.168.120.0 0.0.0.255 192.168.220.0 0.0.0.255 разрешить icmp 192.168.220.0 0.0.0.255 192.168.20.0 0.0.0.255 разрешить icmp 192.168.20.0 0.0.0.255 192.168.220.0 0.0.0.255 разрешить tcp любой хост 10.66.0.2 eq 443 разрешить tcp любой хост 10.66.0.4 eq smtp разрешить tcp любой хост 10.66.0.4 eq pop3 разрешить tcp любой хост 10.66.0.4 eq 995 разрешить udp любой хост 10.66.0.5 eq домен разрешить ip 192.168.0.0 0.0.255.255 214.62.13.0 0.0.0.255 запретить ip любой любой Router#sh ip nat translations Pro Внутренний глобальный Внутренний локальный Внешний локальный Внешний глобальный icmp 20.20.20.1:544 192.168.220.5:544 214.62.13.2:544 214.62.13.2:544 icmp 20.20.20.1:545 192.168.220.5:545 214.62.13.2:545 214.62.13.2:545 icmp 20.20.20.1:546 192.168.220.5:546 214.62.13.2:546 214.62.13.2:546 icmp 20.20.20.1:547 192.168.220.5:547 214.62.13.2:547 214.62.13.2:547 icmp 20.20.20.1:548 192.168.220.5:548 214.62.13.2:548 214.62.13.2:548 icmp 20.20.20.1:549 192.168.220.5:549 214.62.13.2:549 214.62.13.2:549 icmp 20.20.20.1:550 192.168.220.5:550 214.62.13.2:550 214.62.13.2:550 icmp 20.20.20.1:551 192.168.220.5:551 214.62.13.2:551 214.62.13.2:551 icmp 20.20.20.1:552 192.168.220.5:552 214.62.13.2:552 214.62.13.2:552 icmp 20.20.20.1:553 192.168.220.5:553 214.62.13.2:553 214.62.13.2:553 icmp 20.20.20.1:554 192.168.220.5:554 214.62.13.2:554 214.62.13.2:554 icmp 20.20.20.1:555 192.168.220.5:555 214.62.13.2:555 214.62.13.2:555 icmp 20.20.20.1:556 192.168.220.5:556 214.62.13.2:556 214.62.13.2:556 Router#sh crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id slot status 30.30.30.1 20.20.20.1 QM_IDLE 1093 0 ACTIVE
-
При просмотре конфигураций маршрутизаторов VPN, 1941 R-NAT и R-NAT2, было обнаружено, что список доступа NAT неверный. Вы должны учитывать порядок работы NAT —
https://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/6209-5.html Если вы посмотрите документ по ссылке, NAT происходит до шифрования, поэтому, чтобы ваш трафик, определенный списком доступа шифрования, был зашифрован, вы должны исключить этот трафик из NAT, который изменяет некоторые IP-адреса и, следовательно, трафик не соответствует списку доступа шифрования. Вы также должны изменить список доступа со стандартного на расширенный: no ip access-list standard NAT ip access-list extended NAT deny udp any eq bootpc any deny tcp any host 10.66.0.3 eq ftp deny tcp any any eq 443 запретить udp любой хост 10.66.0.2 eq 514 запретить tcp любой хост 10.66.0.4 eq smtp запретить tcp любой хост 10.66.0.4 eq pop3 запретить tcp любой хост 10.66.0.4 eq 995 запретить udp любой хост 10.66.0.5 eq домен запретить udp любой eq домен любой разрешить ip любой любой На маршрутизаторе 1941R-NAT2 у вас будет аналогичная конфигурация. HTH С уважением, LG***
Пожалуйста, оцените все полезные ответы *** -
Но я не хочу что-то блокировать, я хочу, чтобы IPsec работал нормально и я мог получить доступ к сети NAT. Ad1 Я пробовал эту конфигурацию на R1 и R2, но она не работает.
-
Так вы не хотите узнать, как это работает и как правильно настроить? Вы просто хотите, чтобы кто-то из сообщества сделал настройку за вас, чтобы вы могли выполнить свое задание. Я спрашиваю, потому что все, что вам нужно было сделать, это вставить конфигурацию, приведенную в моем посте на 1941R-NAT, и скопировать конфигурацию на 1941R-NAT2, как указано в моем посте. Речь идет об изменении списка доступа... С уважением, LG***
Пожалуйста, оцените все полезные ответы *** -
большое спасибо, чувак
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти