The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"NHRP spoke за NAT"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"NHRP spoke за NAT"  +/
Сообщение от cr1m2email (ok), 24-Июл-18, 09:12 
Здравствуйте работает nhrp между офисами, один из споков имеет резервный канал, в котором оператор держит его за NAT'ом. Когда падает основной канал в резервном туннель не поднимается. Читал, что в cisco ios старше 15 реализован автоматический nat-t. Но на хабе вижу, что этот спок зависает с флагами DN (dynamic, nated)

     1 X.X.178.228      192.168.35.6    UP 06:11:21     DN

На хабе порты udp 500, udo 4500 открыты, но полноценно хаб подключиться не может, сам роутер и ресурсы за ним недоступны.
Настройка спока за натом:

interface Tunnel1
ip address 192.168.35.6 255.255.255.240
no ip redirects
ip nhrp authentication 123
ip nhrp map multicast X.X.88.114
ip nhrp map 192.168.35.1 X.X.88.114
ip nhrp network-id 123
ip nhrp nhs 192.168.35.1
ip ospf network broadcast
ip ospf hello-interval 30
ip ospf priority 0
ip ospf mtu-ignore
cdp enable
tunnel source Dialer0
tunnel mode gre multipoint
tunnel key 123


Что надо еще добавить, чтобы туннель заработал через NAT?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "NHRP spoke за NAT"  +/
Сообщение от BJ (ok), 24-Июл-18, 10:01 
а где tunnel protection ipsec profile ? Без этого никакого nat-t
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "NHRP spoke за NAT"  +/
Сообщение от cr1m2email (ok), 24-Июл-18, 11:41 
> а где tunnel protection ipsec profile ? Без этого никакого nat-t

Добавил

crypto ipsec transform-set myset2 ah-sha-hmac esp-aes
mode transport
!
!
crypto ipsec profile dmvpn_msk
set transform-set myset2

И в туннельный интерфейс
tunnel protection ipsec profile dmvpn_msk

Теперь хаб перестал пинговаться. Или в туннеле хаба тоже надо выполнить такие настройки?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "NHRP spoke за NAT"  +/
Сообщение от cr1m2email (ok), 24-Июл-18, 11:45 
На хабе тоже применил

crypto ipsec transform-set myset esp-3des esp-sha-hmac
mode transport
!
!
crypto ipsec profile dmvpn
set transform-set myset2

Добавил в туннель

interface tunnel 1
tunnel protection ipsec profile dmvpn

Так туннель вообще не поднимается

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "NHRP spoke за NAT"  +/
Сообщение от cr1m2email (ok), 24-Июл-18, 14:56 
СТранно, отменил tunnel protection, как раз упал основной канал, туннель поднялся через NAT во втором аплинке.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "NHRP spoke за NAT"  +/
Сообщение от Andrey (??), 25-Июл-18, 11:22 
> СТранно, отменил tunnel protection, как раз упал основной канал, туннель поднялся через
> NAT во втором аплинке.

Странно ждать поднятие IPSec включая его с одной стороны туннеля.
NHRP может работать через NAT и без IPSec.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "NHRP spoke за NAT"  +/
Сообщение от wer (??), 03-Авг-18, 10:42 
>[оверквотинг удален]
>  ip nhrp nhs 192.168.35.1
>  ip ospf network broadcast
>  ip ospf hello-interval 30
>  ip ospf priority 0
>  ip ospf mtu-ignore
>  cdp enable
>  tunnel source Dialer0
>  tunnel mode gre multipoint
>  tunnel key 123
> Что надо еще добавить, чтобы туннель заработал через NAT?

Откройте на хабе ESP, т.к. UDP 500/4500 только для IKE(v2), а сам IPSec ходит по ESP (или AH).
Также crypto ipsec transform-set myset2 ah-sha-hmac esp-aes переведелайте в crypto ipsec transform-set myset2 esp-sha-hmac esp-aes.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "NHRP spoke за NAT"  +/
Сообщение от ShyLion (ok), 03-Авг-18, 10:51 
> Откройте на хабе ESP, т.к. UDP 500/4500 только для IKE(v2), а сам
> IPSec ходит по ESP (или AH).

Через нат ESP ходит по UDP/4500.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру