NHRP spoke за NAT, cr1m2, 24-Июл-18, 09:12 [смотреть все]Здравствуйте работает nhrp между офисами, один из споков имеет резервный канал, в котором оператор держит его за NAT'ом. Когда падает основной канал в резервном туннель не поднимается. Читал, что в cisco ios старше 15 реализован автоматический nat-t. Но на хабе вижу, что этот спок зависает с флагами DN (dynamic, nated) 1 X.X.178.228 192.168.35.6 UP 06:11:21 DN На хабе порты udp 500, udo 4500 открыты, но полноценно хаб подключиться не может, сам роутер и ресурсы за ним недоступны. Настройка спока за натом: interface Tunnel1 ip address 192.168.35.6 255.255.255.240 no ip redirects ip nhrp authentication 123 ip nhrp map multicast X.X.88.114 ip nhrp map 192.168.35.1 X.X.88.114 ip nhrp network-id 123 ip nhrp nhs 192.168.35.1 ip ospf network broadcast ip ospf hello-interval 30 ip ospf priority 0 ip ospf mtu-ignore cdp enable tunnel source Dialer0 tunnel mode gre multipoint tunnel key 123 Что надо еще добавить, чтобы туннель заработал через NAT?
|
- NHRP spoke за NAT, BJ, 10:01 , 24-Июл-18 (1)
а где tunnel protection ipsec profile ? Без этого никакого nat-t
- NHRP spoke за NAT, cr1m2, 11:41 , 24-Июл-18 (2)
> а где tunnel protection ipsec profile ? Без этого никакого nat-t Добавил crypto ipsec transform-set myset2 ah-sha-hmac esp-aes mode transport ! ! crypto ipsec profile dmvpn_msk set transform-set myset2 И в туннельный интерфейс tunnel protection ipsec profile dmvpn_msk Теперь хаб перестал пинговаться. Или в туннеле хаба тоже надо выполнить такие настройки?
- NHRP spoke за NAT, cr1m2, 11:45 , 24-Июл-18 (3)
На хабе тоже применилcrypto ipsec transform-set myset esp-3des esp-sha-hmac mode transport ! ! crypto ipsec profile dmvpn set transform-set myset2 Добавил в туннель interface tunnel 1 tunnel protection ipsec profile dmvpn Так туннель вообще не поднимается
- NHRP spoke за NAT, cr1m2, 14:56 , 24-Июл-18 (4)
СТранно, отменил tunnel protection, как раз упал основной канал, туннель поднялся через NAT во втором аплинке.
- NHRP spoke за NAT, Andrey, 11:22 , 25-Июл-18 (5)
> СТранно, отменил tunnel protection, как раз упал основной канал, туннель поднялся через > NAT во втором аплинке.Странно ждать поднятие IPSec включая его с одной стороны туннеля. NHRP может работать через NAT и без IPSec.
- NHRP spoke за NAT, wer, 10:42 , 03-Авг-18 (6)
>[оверквотинг удален] > ip nhrp nhs 192.168.35.1 > ip ospf network broadcast > ip ospf hello-interval 30 > ip ospf priority 0 > ip ospf mtu-ignore > cdp enable > tunnel source Dialer0 > tunnel mode gre multipoint > tunnel key 123 > Что надо еще добавить, чтобы туннель заработал через NAT?Откройте на хабе ESP, т.к. UDP 500/4500 только для IKE(v2), а сам IPSec ходит по ESP (или AH). Также crypto ipsec transform-set myset2 ah-sha-hmac esp-aes переведелайте в crypto ipsec transform-set myset2 esp-sha-hmac esp-aes.
- NHRP spoke за NAT, ShyLion, 10:51 , 03-Авг-18 (7)
> Откройте на хабе ESP, т.к. UDP 500/4500 только для IKE(v2), а сам > IPSec ходит по ESP (или AH).Через нат ESP ходит по UDP/4500.
|