IPSec через NAT.

Гигабитный VPN маршрутизатор на базе технологии SafeStream™ с поддержкой нескольких WAN
Ответить
ryasnoy
Сообщения: 3
Зарегистрирован: 01 фев 2016, 11:48
Страна: Россия

IPSec через NAT.

Сообщение ryasnoy » 01 фев 2016, 13:05

Аппаратная версия устройства: TL-ER6120
Версия прошивки: 1.0.7 Build 20140113 Rel.63736
Ваша страна: Россия
Доброго времени суток!
Есть 2 железки TL-ER6120
Необходимо пробросить IPSec тоннель между 2-мя подсетями, через NAT провайдера с одной стороны.
На 1 TL-ER6120 Честный IP, на втором фейк, со стороны провайдера поднят NAT (IP закреплен)
По стандартному гайду IPSec тоннель не поднимается.
Максимум к чему пришел - тоннель устанавливается только если для маршрутизатора, который находится за NAT, в IKE Policy использовать FQDN для Local ID, и соотв-но на удаленном указать тот же FQDN для Remote ID.
Тоннель поднимается, но траффик не ходит.
В параметрах тоннеля (IPSec SA) на одной стороне пишет Честный IP --- Честный IP, на стороне за NAT: Фейковый IP --- Честный IP.
В настройках фаерволов с обеих сторон поставил на период теста Any to Any - Lan.

Кто-нибудь настраивал через NAT?
Есть ли тонкости?

Goodwin
Модератор
Модератор
Сообщения: 3729
Зарегистрирован: 25 май 2011, 10:56
Страна: Россия

Re: IPSec через NAT.

Сообщение Goodwin » 02 фев 2016, 11:56

Всё будет работать через aggressive mode в том случае, если хотя бы с одной стороны будет публичный (белый) ip.
Перед тем, как создать тему, посетите раздел ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ
TP-LINK Archer C7v2
Личные сообщения по техническим проблемам без сообщения на форуме не рассматриваются!

ryasnoy
Сообщения: 3
Зарегистрирован: 01 фев 2016, 11:48
Страна: Россия

Re: IPSec через NAT.

Сообщение ryasnoy » 02 фев 2016, 11:59

Goodwin писал(а):Всё будет работать через aggressive mode в том случае, если хотя бы с одной стороны будет публичный (белый) ip.
Агрессив на обоих железках или на той которая с фейком? (просто чтобы долго не искать)

Goodwin
Модератор
Модератор
Сообщения: 3729
Зарегистрирован: 25 май 2011, 10:56
Страна: Россия

Re: IPSec через NAT.

Сообщение Goodwin » 02 фев 2016, 12:09

Странный вопрос. Вы когда-нибудь настраивали IPSec? Если нет, то надо читать инструкции.
http://www.tp-linkru.com/old/article/?faqid=380 - на шаге 2 вместо режима Main надо ставить aggressive, само собой с двух сторон.
Перед тем, как создать тему, посетите раздел ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ
TP-LINK Archer C7v2
Личные сообщения по техническим проблемам без сообщения на форуме не рассматриваются!

ryasnoy
Сообщения: 3
Зарегистрирован: 01 фев 2016, 11:48
Страна: Россия

Re: IPSec через NAT.

Сообщение ryasnoy » 02 фев 2016, 12:16

Сорр, сам себя запутал (в мануале однозначно написано).

Exchange Mode:
Select the IKE Exchange Mode in phase 1, and ensure the remote VPN
peer uses the same mode.


Main:
Main mode provides identity protection and exchanges more
information, which applies to the scenarios with hig
her requirement
for identity protection.

Aggressive
:
Aggressive Mode establishes a faster connection but
with lower security, which applies to scenarios with lower
requirement for identity protection

Ответить

Вернуться в «TL-ER6120»