Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 14:46



Ответить на тему  [ Сообщений: 4 ] 
Вопрос по тунелькам и PAT 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 99
День добрый, господа!
Есть стенд, в котором есть граничный роутер, на котором осуществляется NAT/PAT, за которым торчит VPN-концентратор. Такое расположение создано умышленно, поэтому выдвигать вперед концентратор крайне не желательно.
Для нормальной работы на граничном роутере подняты статические трансляции:

ip nat inside source static udp <VPN-hub> 500 <EXT_IP> 500
ip nat inside source static udp <VPN-hub> 4500 <EXT_IP> 4500

Логично и внешние клиенты спокойно конектятся. Но вот столкнулся со следующей проблемой - если IPSEC-тунель создавать изнутри сети куда-нить в интернет, то такой тунель не может установиться: все ответы удаленного VPN-hub'а нат забрасывает на <VPN-hub>, где они и славно умирают...

Внимание, вопрос: как сделать так, что-бы динамические правила для NAT изнутри, точнее их ответы снаружи обрабатывались иначе или раньше статических правил честных внешних пользователей?


23 май 2018, 13:13
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
а динамические правила используют другой внешний ip?


24 май 2018, 04:25
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 99
Проблема в самой связке Cisco Router/NAT/IPSEC. Вот я устанавливаю IPSEC тунель от пользовательского компа к наружному VPN-хабу и вижу следующие трансляции на роутере:

udp 83.221.221.93:500 10.1.41.48:500 5.59.135.245:500 5.59.135.245:500
udp 83.221.221.93:500 10.1.41.48:500 5.59.135.245:500 5.59.135.245:500
udp 83.221.221.93:4500 10.1.41.48:4500 5.59.135.245:4500 5.59.135.245:4500

83.221.222.93 - IP моего роутера с nat на стыке
10.1.41.48 - мой юзерский комп
5.59.136.245 - удаленный хаб

Как видно, Cisco даже после ната производит проброс так же с портов 500 и 4500 :) и на этом роутере нет проброса IPSEC. Но для этих соединений есть динамические правила. Беда в том, что ответы от 5.59.135.245 так же приходят по портам 500 и 4500, и, если мне надо пробрасывать пробрасывать трафик до IPSEC-хаба, то статические правила не дадут отработать динамическим правилам, так как статика безоговорочно закинет из хабу...


24 май 2018, 10:19
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 99
UP


28 май 2018, 10:11
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 4 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 50


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB