The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
NHRP spoke за NAT, !*! cr1m2, 24-Июл-18, 09:12  [смотреть все]
Здравствуйте работает nhrp между офисами, один из споков имеет резервный канал, в котором оператор держит его за NAT'ом. Когда падает основной канал в резервном туннель не поднимается. Читал, что в cisco ios старше 15 реализован автоматический nat-t. Но на хабе вижу, что этот спок зависает с флагами DN (dynamic, nated)

     1 X.X.178.228      192.168.35.6    UP 06:11:21     DN

На хабе порты udp 500, udo 4500 открыты, но полноценно хаб подключиться не может, сам роутер и ресурсы за ним недоступны.
Настройка спока за натом:

interface Tunnel1
ip address 192.168.35.6 255.255.255.240
no ip redirects
ip nhrp authentication 123
ip nhrp map multicast X.X.88.114
ip nhrp map 192.168.35.1 X.X.88.114
ip nhrp network-id 123
ip nhrp nhs 192.168.35.1
ip ospf network broadcast
ip ospf hello-interval 30
ip ospf priority 0
ip ospf mtu-ignore
cdp enable
tunnel source Dialer0
tunnel mode gre multipoint
tunnel key 123


Что надо еще добавить, чтобы туннель заработал через NAT?

Ответить | Сообщить модератору
  • NHRP spoke за NAT, !*! BJ, 10:01 , 24-Июл-18 (1)
    а где tunnel protection ipsec profile ? Без этого никакого nat-t
    Ответить | Сообщить модератору
    • NHRP spoke за NAT, !*! cr1m2, 11:41 , 24-Июл-18 (2)
      > а где tunnel protection ipsec profile ? Без этого никакого nat-t

      Добавил

      crypto ipsec transform-set myset2 ah-sha-hmac esp-aes
      mode transport
      !
      !
      crypto ipsec profile dmvpn_msk
      set transform-set myset2

      И в туннельный интерфейс
      tunnel protection ipsec profile dmvpn_msk

      Теперь хаб перестал пинговаться. Или в туннеле хаба тоже надо выполнить такие настройки?

      Ответить | Сообщить модератору
      • NHRP spoke за NAT, !*! cr1m2, 11:45 , 24-Июл-18 (3)
        На хабе тоже применил

        crypto ipsec transform-set myset esp-3des esp-sha-hmac
        mode transport
        !
        !
        crypto ipsec profile dmvpn
        set transform-set myset2

        Добавил в туннель

        interface tunnel 1
        tunnel protection ipsec profile dmvpn

        Так туннель вообще не поднимается

        Ответить | Сообщить модератору
        • NHRP spoke за NAT, !*! cr1m2, 14:56 , 24-Июл-18 (4)
          СТранно, отменил tunnel protection, как раз упал основной канал, туннель поднялся через NAT во втором аплинке.
          Ответить | Сообщить модератору
          • NHRP spoke за NAT, !*! Andrey, 11:22 , 25-Июл-18 (5)
            > СТранно, отменил tunnel protection, как раз упал основной канал, туннель поднялся через
            > NAT во втором аплинке.

            Странно ждать поднятие IPSec включая его с одной стороны туннеля.
            NHRP может работать через NAT и без IPSec.

            Ответить | Сообщить модератору
  • NHRP spoke за NAT, !*! wer, 10:42 , 03-Авг-18 (6)
    >[оверквотинг удален]
    >  ip nhrp nhs 192.168.35.1
    >  ip ospf network broadcast
    >  ip ospf hello-interval 30
    >  ip ospf priority 0
    >  ip ospf mtu-ignore
    >  cdp enable
    >  tunnel source Dialer0
    >  tunnel mode gre multipoint
    >  tunnel key 123
    > Что надо еще добавить, чтобы туннель заработал через NAT?

    Откройте на хабе ESP, т.к. UDP 500/4500 только для IKE(v2), а сам IPSec ходит по ESP (или AH).
    Также crypto ipsec transform-set myset2 ah-sha-hmac esp-aes переведелайте в crypto ipsec transform-set myset2 esp-sha-hmac esp-aes.

    Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру