Форум программистов, компьютерный форум, киберфорум
Наши страницы
Huawei
Войти
Регистрация
Восстановить пароль
 
Рейтинг 5.00/5: Рейтинг темы: голосов - 5, средняя оценка - 5.00
Gadenysh
1 / 1 / 0
Регистрация: 06.11.2015
Сообщений: 13
1

Два IPSec туннеля через NAT на AR1220

16.12.2015, 15:31. Просмотров 1007. Ответов 10
Метки нет (Все метки)

Добрый вечер.
Можно ли организовать два IPSec туннеля с пробросом через NAT. Проблема в том, что у двух удаленных подразделений нет возможности получить белые адреса. С одним абонентом туннель нормально организуется, а когда пытаюсь поднять второго появляются грабли в policy-temlate. Как победить не знаю, подскажите люди добрые. Рисунок прилагаю. (значка NAT не нашел, воткнул, что попало под руку).
0
Миниатюры
Два IPSec туннеля через NAT на AR1220  
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
16.12.2015, 15:31
Ответы с готовыми решениями:

Два провайдера, два роутера (с NAT), как объединить всё это?
Есть два роутера, один с вайфаем, получает инет по выделенке (витая пара),...

Huawei AR1220 internet
Возникли проблемы при настройки данного маршрутизатора. Нет возможности...

AR1220 можно ли поднять сабинтерфейсы как на циске?
Здравствуйте. Есть маршрутизатор AR1220. С huawei никогда не работал....

Настроить NAT для трафика из IPSec туннеля
Добрый день! 1. Два офиса соединены IPSec туннелем, головной (192.168.0.0/24)...

Особенности работы туннеля IPsec
Есть две удаленных друг от друга сети: 10.1.0.0/24 и 10.5.1.0/24 В каждой...

10
MonaxGT
Эксперт по компьютерным сетям
275 / 275 / 25
Регистрация: 02.08.2012
Сообщений: 1,219
16.12.2015, 16:54 2
Gadenysh, В принципе возможно, если у Вас адресация не пересекается, если и пересекает то доп нат в помощь, точно командами я Вам сказать не могу. Прикладывайте конфиги и будем думать...
1
Gadenysh
1 / 1 / 0
Регистрация: 06.11.2015
Сообщений: 13
18.12.2015, 10:05  [ТС] 3
Кликните здесь для просмотра всего текста
[V200R002C01SPC200]
#
sysname kcrb-revolve318-vpnsrv
#
snmp-agent local-engineid 800007DB03CCCC815A45F0
snmp-agent
#
drop illegal-mac alarm
#
ike local-name KRVS
#
set transceiver-monitoring disable
#
acl number 3002
rule 5 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.104.0 0.0.0.255
acl number 3003
rule 5 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.105.0 0.0.0.255
acl number 3004
rule 5 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.106.0 0.0.0.255
#
ipsec proposal tran1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
#
ike proposal 5
encryption-algorithm aes-cbc-128
#
ike peer kcrb1 v1
exchange-mode aggressive
pre-shared-key cipher %$%$e;/S6&h:~R3#EuCb~nBC,jaX%$%$
ike-proposal 5
local-id-type name
remote-name KVC1
nat traversal
#
ike peer kcrb2 v1
exchange-mode aggressive
pre-shared-key cipher %$%$e;/S6&h:~R3#EuCb~nBC,jaX%$%$
ike-proposal 5
local-id-type name
remote-name KVC2
nat traversal
#
ike peer kcrb3 v1
exchange-mode aggressive
pre-shared-key cipher %$%$e;/S6&h:~R3#EuCb~nBC,jaX%$%$
ike-proposal 5
local-id-type name
remote-name KVC3
nat traversal
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user root password cipher %$%$&7v7+eXP=NJ"G~#_/wlAolcZ%$%$
local-user root privilege level 15
local-user root service-type telnet ssh
local-user admin password cipher %$%$I6.ASV)hJET,p"Dn.YM%3aXO%$%$
local-user admin service-type http
#
interface Ethernet0/0/0
#
interface Ethernet0/0/1
#
interface Ethernet0/0/2
#
interface Ethernet0/0/3
#
interface Ethernet0/0/4
#
interface Ethernet0/0/5
#
interface Ethernet0/0/6
#
interface Ethernet0/0/7
#
interface GigabitEthernet0/0/0
ip address 217.196.111.86 255.255.255.252
#
interface GigabitEthernet0/0/1
ip address 192.168.0.159 255.255.255.0
#
interface NULL0
#
stelnet server enable
#
ip route-static 192.168.1.0 255.255.255.0 217.196.111.85
ip route-static 192.168.104.0 255.255.255.0 217.196.111.85
ip route-static 192.168.105.0 255.255.255.0 217.196.111.85
ip route-static 192.168.106.0 255.255.255.0 217.196.111.85
#
user-interface con 0
authentication-mode password
set authentication password cipher %$%$P#O}@a1.oW@,>|+ChlqF,1(|HbWu>I/[7${HmP#7{fs*.7.)%$%$
user-interface vty 0 4
authentication-mode aaa
protocol inbound ssh
user-interface vty 16 20
#
voice
#
diagnose
#
return

Дошел до этого, а дальше грабли с ipsec policy.
Если делать через policy-template, то он разрешает только один peer, через ipsec policy policy1 10 isakmp - только если в peer прописан remote-address.
Вот и....... хз что делать((((
0
MonaxGT
Эксперт по компьютерным сетям
275 / 275 / 25
Регистрация: 02.08.2012
Сообщений: 1,219
18.12.2015, 17:11 4
ipsec policy policy1 10 isakmp - только если в peer прописан remote-address.

Так и должно быть, у вас 1 сущность (10) для 1 филиала, а например 20 для другого. Просто создайте 1 полиси но с разными числами (10 и 20)
1
Gadenysh
1 / 1 / 0
Регистрация: 06.11.2015
Сообщений: 13
19.12.2015, 12:45  [ТС] 5
Спасибо, после выходных попробую.
0
Gadenysh
1 / 1 / 0
Регистрация: 06.11.2015
Сообщений: 13
21.12.2015, 11:05  [ТС] 6
[vpnsrv-ipsec-policy-isakmp-policy1-10]ike-peer KCRB1
Error: No remote address configured for the IKE peer.
Не получилось((.
0
MonaxGT
Эксперт по компьютерным сетям
275 / 275 / 25
Регистрация: 02.08.2012
Сообщений: 1,219
21.12.2015, 16:17 7
Gadenysh, а что такое KCRB1 ?
0
Gadenysh
1 / 1 / 0
Регистрация: 06.11.2015
Сообщений: 13
21.12.2015, 16:24  [ТС] 8
ike peer kcrb1 v1
exchange-mode aggressive
pre-shared-key cipher %$%$e;/S6&h:~R3#EuCb~nBC,jaX%$%$
ike-proposal 5
local-id-type name
remote-name KVC1
nat traversal
0
MonaxGT
Эксперт по компьютерным сетям
275 / 275 / 25
Регистрация: 02.08.2012
Сообщений: 1,219
21.12.2015, 16:29 9
Gadenysh, у вас система ругается что IP адреса нет, а то что я спросил - скорей всего он думает что это доменное имя.
0
Gadenysh
1 / 1 / 0
Регистрация: 06.11.2015
Сообщений: 13
21.12.2015, 16:33  [ТС] 10
MonaxGT, Это я понимаю, вся проблема в том и состоит, что роутер стоит за натом и аутентификация идет через имя и канает только policy-template, а в policy-template я могу только один peer прописать.
0
MonaxGT
Эксперт по компьютерным сетям
275 / 275 / 25
Регистрация: 02.08.2012
Сообщений: 1,219
21.12.2015, 17:53 11
Gadenysh, да ладно?)))) а как же nat-traversal))
0
21.12.2015, 17:53
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
21.12.2015, 17:53

ipsec+NAT
День добрый, коллеги! Помогите решить задачку: есть два клиента, которые не...

Dynamic VTI + IPSec + NAT
Пытаюсь установить туннель с dynamic VTI. Т.е. на хабе имеем статический белый...

BGP, два туннеля, один провайдер
Доброго времени суток! Предыстория: имеем одного провайдера через которого...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
11
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru