IPSec через NAT.

Эта ветка закрыта для дальнейших ответов. Вы можете создать новую тему, чтобы поделиться своими идеями или задать вопросы.

IPSec через NAT.

Эта ветка закрыта для дальнейших ответов. Вы можете создать новую тему, чтобы поделиться своими идеями или задать вопросы.
IPSec через NAT.
IPSec через NAT.
2016-02-01 10:05:12
Аппаратная версия устройства: TL-ER6120
Версия прошивки: 1.0.7 Build 20140113 Rel.63736
Ваша страна: Россия
Доброго времени суток!
Есть 2 железки TL-ER6120
Необходимо пробросить IPSec тоннель между 2-мя подсетями, через NAT провайдера с одной стороны.
На 1 TL-ER6120 Честный IP, на втором фейк, со стороны провайдера поднят NAT (IP закреплен)
По стандартному гайду IPSec тоннель не поднимается.
Максимум к чему пришел - тоннель устанавливается только если для маршрутизатора, который находится за NAT, в IKE Policy использовать FQDN для Local ID, и соотв-но на удаленном указать тот же FQDN для Remote ID.
Тоннель поднимается, но траффик не ходит.
В параметрах тоннеля (IPSec SA) на одной стороне пишет Честный IP --- Честный IP, на стороне за NAT: Фейковый IP --- Честный IP.
В настройках фаерволов с обеих сторон поставил на период теста Any to Any - Lan.

Кто-нибудь настраивал через NAT?
Есть ли тонкости?
  0      
  0      
#1
Опции
4 Ответить
Re: IPSec через NAT.
2016-02-02 08:56:14
Всё будет работать через aggressive mode в том случае, если хотя бы с одной стороны будет публичный (белый) ip.
  0  
  0  
#1
Опции
Re: IPSec через NAT.
2016-02-02 08:59:46
[quote="Goodwin"]Всё будет работать через aggressive mode в том случае, если хотя бы с одной стороны будет публичный (белый) ip.[/quote] Агрессив на обоих железках или на той которая с фейком? (просто чтобы долго не искать)
  0  
  0  
#1
Опции
Re: IPSec через NAT.
2016-02-02 09:09:42
Странный вопрос. Вы когда-нибудь настраивали IPSec? Если нет, то надо читать инструкции.
http://www.tp-linkru.com/old/article/?faqid=380 - на шаге 2 вместо режима Main надо ставить aggressive, само собой с двух сторон.
  0  
  0  
#1
Опции
Re: IPSec через NAT.
2016-02-02 09:16:40
Сорр, сам себя запутал (в мануале однозначно написано).

Exchange Mode:
Select the IKE Exchange Mode in phase 1, and ensure the remote VPN
peer uses the same mode.


Main:
Main mode provides identity protection and exchanges more
information, which applies to the scenarios with hig
her requirement
for identity protection.

Aggressive
:
Aggressive Mode establishes a faster connection but
with lower security, which applies to scenarios with lower
requirement for identity protection
  0  
  0  
#1
Опции