туннель Ikev2 — нужна помощь с настройкой —

Reply to туннель Ikev2 — нужна помощь с настройкой — on Mon, 02 Mar 2026 12:43:44 GMT

adminkl — Mon, 02 Mar 2026 12:43:44 GMT

Поскольку ваш маршрутизатор Cisco находится за брандмауэром Fortigate, вам необходимо настроить брандмауэр так, чтобы разрешить NAT-порты UDP 500 и 4500 для частного IP-адреса вашего маршрутизатора. Кроме того, обновите профиль IKEv2 на маршрутизаторе, чтобы отразить частный IP-адрес, назначенный за брандмауэром. NAT-T должен обрабатывать преобразование, но для работы туннеля ключевое значение имеют правильные статические или портовые правила NAT и брандмауэра на Fortigate.

Reply to туннель Ikev2 — нужна помощь с настройкой — on Mon, 02 Mar 2026 12:43:43 GMT

MHM Cisco World — Mon, 02 Mar 2026 12:43:43 GMT

Для NAT легко использовать WAN-порт 500 и 4500 NATing к частному IP-порту маршрутизатора 500 и 4500, убедившись, что оба порта открыты. Я думаю, проблема в том, что ваш профиль ikev2 не настроен правильно. Поделитесь конфигурацией, я проверю. MHM

Reply to туннель Ikev2 — нужна помощь с настройкой — on Mon, 02 Mar 2026 12:43:42 GMT

Aref Alsouqi — Mon, 02 Mar 2026 12:43:42 GMT

Не могли бы вы поделиться схемой для ознакомления? NAT должен выполняться на Fortigate, поскольку маршрутизатор Cisco находится за Fortigate. Fortigate должен преобразовывать публичный IP-адрес, который будет использоваться для VPN. Вы можете выполнить NAT 1:1, который преобразует все, что поступает на этот IP-адрес, в частный IP-адрес маршрутизатора Cisco, или вы можете выполнить статический порт NAT, где вам нужно настроить преобразование для ESP, порта 500/udp и порта 4500/udp.

Reply to туннель Ikev2 — нужна помощь с настройкой — on Mon, 02 Mar 2026 12:43:41 GMT

ipo.peniel — Mon, 02 Mar 2026 12:43:41 GMT

Всем привет, я прочитал здесь и там о том, как работает Natting, но все еще испытываю проблемы с его настройкой. Например, мой WAN-канал подключен к брандмауэру Fortigate с публичным IP-адресом 1.1.1.1, а другой WAN-канал подключен к другому маршрутизатору Cisco с публичным IP-адресом 2.2.2.2. Мой маршрутизатор имеет внутреннюю сеть 192.168.50.0/24. LAN за брандмауэром Fortigate имеет адрес 192.168.60.0/24, а его публичный IP-адрес — 1.1.1.1. Сейчас я пытаюсь настроить туннель ikev2 на маршрутизаторе, поэтому мне нужно использовать порты 4500 и 500. Как мне настроить NAT для этого? Спасибо.

Reply to туннель Ikev2 — нужна помощь с настройкой — on Mon, 02 Mar 2026 12:43:40 GMT

Aref Alsouqi — Mon, 02 Mar 2026 12:43:40 GMT

Пожалуйста. Я думаю, единственное, что вам нужно изменить на стороне маршрутизатора, это локальный IP-адрес в криптографическом профиле IKEv2. Когда вы подключаете маршрутизатор за Fortigate, этот локальный IP-адрес должен быть изменен, чтобы отражать частный IP-адрес, который вы назначили интерфейсу маршрутизатора, подключенному к Fortigate. NAT-T должен быть уже включен на маршрутизаторе по умолчанию, поэтому, кроме изменения локального IP-адреса, я не думаю, что на маршрутизаторе нужно что-то еще менять. К сожалению, я не могу помочь с настройкой Fortigate, так как не имею опыта работы с ним. Однако я нашел для вас это руководство, посмотрите, надеюсь, оно вам поможет: Статические виртуальные IP-адреса | FortiGate / FortiOS 7.6.0 | Библиотека документов Fortinet

Reply to туннель Ikev2 — нужна помощь с настройкой — on Mon, 02 Mar 2026 12:43:39 GMT

ipo.peniel — Mon, 02 Mar 2026 12:43:39 GMT

Спасибо, сэр. Можете ли вы поделиться со мной настройками, которые я могу ввести в маршрутизатор? Я новичок в этих вопросах. Спасибо. Я дошел до того, что подключил туннель при прямом подключении к интернет-провайдеру. Однако, поскольку мы используем только один публичный IP-адрес, я бы очень хотел использовать IP-адрес локальной сети. Сейчас я настроил интерфейс WAN на маршрутизаторе со статическим IP-адресом из локальной сети.

Reply to туннель Ikev2 — нужна помощь с настройкой — on Mon, 02 Mar 2026 12:43:38 GMT

Aref Alsouqi — Mon, 02 Mar 2026 12:43:38 GMT

Как уже упоминали другие, на устройстве Fortigate должны быть настроены NAT и правила безопасности. Как упомянул
@Rob Ingram
, если вы настроите маршрутизатор Cisco со статическим IP-адресом, то сможете создать правило NAT на Fortigate для преобразования любого трафика, поступающего на внешний интерфейс Fortigate по портам 500/udp и 4500/udp, в частный IP-адрес маршрутизатора Cisco. Если у вас есть запасной публичный IP-адрес, вы также можете создать сопоставление NAT «один к одному», преобразующее трафик, поступающий на этот выделенный публичный IP-адрес, в частный IP-адрес маршрутизатора Cisco. Кроме того, брандмауэр Fortigate должен разрешать трафик на этих портах в направлении частного IP-адреса маршрутизатора. Еще одна вещь, которую, по-моему, необходимо проверить, — это правило исходящего NAT на Fortigate. Когда маршрутизатор Cisco пытается установить VPN-туннель с удаленным концом, его трафик будет преобразован брандмауэром Fortigate в публичный IP-адрес. Этот IP-адрес может быть IP-адресом внешнего интерфейса Foritgate или другим, настроенным на Fortigate. В любом случае, этот публичный IP-адрес будет удаленным узлом, настроенным на удаленном VPN-узле. Я не согласен с
@Rob Ingram
в том, что NAT-T должен быть настроен на Fortigate, поскольку Fortigate будет только транзитным устройством с точки зрения VPN, но, возможно, я что-то упускаю.

Reply to туннель Ikev2 — нужна помощь с настройкой — on Mon, 02 Mar 2026 12:43:37 GMT

Rob Ingram — Mon, 02 Mar 2026 12:43:37 GMT

@ipo.peniel
Настройка NAT/брандмауэра должна выполняться на брандмауэре Fortigate, поэтому вам, вероятно, лучше задать этот вопрос на форумах Fortinet, а не в сообществе Cisco.

Reply to туннель Ikev2 — нужна помощь с настройкой — on Mon, 02 Mar 2026 12:43:36 GMT

ipo.peniel — Mon, 02 Mar 2026 12:43:36 GMT

У вас есть документация, которая может мне помочь? Мне просто нужно знать, что именно нужно делать и где.

Reply to туннель Ikev2 — нужна помощь с настройкой — on Mon, 02 Mar 2026 12:43:35 GMT

Rob Ingram — Mon, 02 Mar 2026 12:43:35 GMT

@ipo.peniel
настройте статический IP-адрес на маршрутизаторе вместо DHCP, настройте статический NAT на брандмауэре, преобразующий публичный IP-адрес в частный статический IP-адрес маршрутизатора. Настройте правила брандмауэра (извне внутрь), чтобы разрешить udp/500, udp/4500 для IP-адреса маршрутизатора. Убедитесь, что NAT-Traversal настроен на Fortigate. Поскольку вы будете использовать NAT, проверьте идентификатор IKEv2, отправленный другому узлу.

Reply to туннель Ikev2 — нужна помощь с настройкой — on Mon, 02 Mar 2026 12:43:34 GMT

Kasun Bandara — Mon, 02 Mar 2026 12:43:34 GMT

@ipo.peniel,
я понимаю, что вы не можете раскрыть некоторые ключевые моменты, которые очень важны для устранения неполадок. Думаю, в данном случае вам необходимо настроить правила NAT и политики брандмауэра. Кроме того, вы можете ознакомиться с приведенным ниже руководством https://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/23820-ios-pat-ipsec-tunnel.html В нем описан аналогичный сценарий, но с использованием маршрутизатора Cisco в качестве устройства NAT, а не брандмауэра. Концепция остается той же. Пожалуйста, оцените это и отметьте как решение/ответ, если это решило вашу проблему
. Удачи,
KB.

Reply to туннель Ikev2 — нужна помощь с настройкой — on Mon, 02 Mar 2026 12:43:33 GMT

ipo.peniel — Mon, 02 Mar 2026 12:43:33 GMT

Всем привет, из-за строгой политики я не могу раскрыть свои настройки, однако ниже приведен сценарий:

У меня есть маршрутизатор Cisco ISR C1121. Я настроил на нем туннель Ikev2. Однако интерфейс WAN маршрутизатора получает IP-адрес от локальной сети, которая подключена к брандмауэру Fortigate.
Ключи, предложения, профили, криптографические карты и списки доступа, настроенные на маршрутизаторе, работают нормально, так как я могу запустить туннель, когда подключаю маршрутизатор напрямую к интернет-провайдеру.
Однако у меня возникает проблема, когда я подключаюсь к локальной сети через брандмауэр. Я не знаю, где нужно настроить пропуск VPN-трафика.

Reply to туннель Ikev2 — нужна помощь с настройкой — on Mon, 02 Mar 2026 12:43:32 GMT

Rob Ingram — Mon, 02 Mar 2026 12:43:32 GMT

@ipo.peniel
Причин может быть несколько, но без ознакомления с вашей конфигурацией мы можем только гадать. - Проверьте ACL брандмауэра, чтобы убедиться, что трафик разрешен. - Если настроен NAT, убедитесь, что он работает правильно. - Если NAT настроен, проверьте, что идентификатор IKE правильный. Предоставьте конфигурацию и отладочные данные IKEv2 с маршрутизаторов.

Reply to туннель Ikev2 — нужна помощь с настройкой — on Mon, 02 Mar 2026 12:43:31 GMT

Kasun Bandara — Mon, 02 Mar 2026 12:43:31 GMT

@ipo.peniel
Привет, наиболее распространенные проблемы приведены ниже. Проверьте, не затронула ли какая-либо из них вашу ситуацию. 1. NAT — убедитесь, что в брандмауэре установлены правильные правила NAT для портов 500 и 4500 для трафика ipsec. 2. Маршрутизация — убедитесь, что ваш маршрутизатор за брандмауэром может достигать удаленного узла через брандмауэр. 3. Политики брандмауэра — убедитесь, что у вас есть правильные правила брандмауэра, разрешающие трафик IPSec между двумя маршрутизаторами. Пожалуйста, оцените это и отметьте как решение/ответ, если это решило вашу проблему
. Удачи!
KB

Reply to туннель Ikev2 — нужна помощь с настройкой — on Mon, 02 Mar 2026 12:43:30 GMT

MHM Cisco World — Mon, 02 Mar 2026 12:43:30 GMT

В
PBL acl Xx deny ip 10.27.52.0 0.0.0.255 192.168.60.0 0.0.0.255 <<- убедитесь, что эта строка добавлена в начало ACL MHM