+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

NAT-пакеты через ipsec-туннель.

NAT-пакеты через ipsec-туннель., RouterOS

scriptcypher

Guest

22.05.2013 05:11:00

Всем привет! Я использую следующую версию: v5.22 на RB750GL. У меня установлен IPsec-туннель между Mikrotik и сетью Cisco на другом конце, которая не под моим контролем. Меня попросили NAT'ить весь трафик, который я отправляю через туннель, на один исходный адрес, который маршрутизируется через сеть Cisco. Мне кажется, что я всё настроил правильно со следующим правилом NAT:

Chain: srcnat
src. Address: (/24 Моя LAN-подсеть)
Dst. Address: (/24 Подсеть удаленной сети Cisco, к которой я получаю доступ)
Action: src-nat
To Address: (/32 IP-адрес, который администраторы сети Cisco предоставили нам для NAT'ирования нашего IPsec-трафика)

Когда я отправляю ICMP-запросы или выполняю traceroute для любого IP в /24 сети Cisco из моей LAN, я вижу, что пакеты отправляются, и счетчик пакетов по вышеуказанному правилу увеличивается, однако я не получаю никаких ответов. Я пока не получил подтверждение от администраторов Cisco, получают ли они эти пакеты на своей стороне. Я думаю, что машины на другом конце получают эти пакеты и отвечают на них с целевым адресом, установленным на IP-адрес, через который мы выводим трафик.

Кроме того, если пакеты направляются обратно через IPsec-туннель, я не уверен, знает ли маршрутизатор, какой внутренний ПК нужно получить в ответ. Также в настоящее время на маршрутизаторе нет интерфейса, настроенного с этим IP-адресом.

Я что-то упускаю? Или я сильно заблуждаюсь? Спасибо за любую помощь, которую вы можете предоставить.

siuslawbb

Guest

18.12.2013 02:58:00

Только что наткнулся на этот пост, и у меня та же проблема. Туннель активен, SA установлены, но нужно сделать NAT моей локальной сети через туннель на один IP. Маскараде бы подошла, если бы у IPSec туннеля был локальный интерфейс с NAT IP, назначенным на него. Раз у нас нет интерфейса, когда строится IPsec туннель, это не работает. Пытались сделать то же самое для src-nat, но это тоже не работает. У кого-нибудь есть чудесное и простое (или хотя бы среднесложное) решение?

scriptcypher

Guest

18.12.2013 03:03:00

Эх, вот бы! Я так и не смог заставить это работать. Очень хотел использовать устройство за 50 долларов для этого VPN-туннеля, но так и не получилось. Это должно было быть использовано для медицинского сервиса eChart. В итоге мы купили Fortinet за 400 долларов, который легко позволил нам выполнять NAT через конкретный IP-адрес, как нам и нужно было. Если кто-то знает, как это можно заставить работать, буду рад узнать.

siuslawbb

Guest

18.12.2013 07:40:00

scriptcypher, кажется, я только что разобрался. В общем, nat'инг происходит до политики ipsec. Так что возьми свой локальный LAN-сеть и src-nat'и его на IP-адрес NAT, предоставляемый Cisco, которым ты не управляешь. В политике IPSec, вместо того, чтобы указывать свой LAN-сеть в качестве локального адреса источника, установи его на IP-адрес NAT, предоставляемый другой компанией. Я чуть со стула не упал, когда у меня получилось это запустить! Я весь день гуглил, пытаясь собрать воедино способ заставить это работать, и наконец-то понял!

mjgraham

Guest

16.10.2014 03:17:00

Ненавижу поднимать старую тему, но вдруг кто-то сейчас посмотрит. Я уже делал то, что описано в последнем посте, настроил много вещей с ASAs, но хотел попробовать гораздо более дешёвый вариант. Я могу заставить это работать в определённой степени, хотя приходится делать srcnat и менять IP, строить туннель для этого. С микротика всё работает отлично, я могу пинговать вещи на удалённом конце, всё нормально. Однако, когда с другой стороны пингают мой конец, они пингают адрес NAT, и я вижу этот адрес, проходящий по туннелю, и он отображается на внешнем интерфейсе. Я перепробовал всякие NAT-штуки, чтобы преобразовать его обратно в правильный IP, но безрезультатно. Кажется, когда я отправляю с моей стороны, оно знает, что искать, когда они возвращаются, но когда они начинают с другого места, оно не знает. В любом случае, если у кого-то есть какие-нибудь идеи, может быть, я просто что-то упускаю. Спасибо.

siuslawbb

Guest

16.10.2014 17:36:00

mjgraham, в твоей политике ipsec установи адрес источника на NAT-адрес с другой стороны туннеля. Адрес назначения – это подсеть в другом месте. Адрес-источник SA – твой публичный, а адрес-назначение SA – публичный на другом файрволе. В ip firewall nat создай политику примерно так: chain=srcnat action=src-nat to-addresses=NAT IP, который ждет с другой стороны (должен совпадать с адресом источника в политике ipsec); src-address-list=подсеть внутренней сети; dst-address-list=удаленная подсеть (должна совпадать с адресом назначения в политике ipsec); log=no log-prefix=“”. Похоже, что ты уже далеко продвинулся. В моем случае, устройства, находящиеся за Cisco, не должны получать доступ к моей внутренней сети. Если бы им нужен был доступ, возьми вышеуказанное правило и измени его на правило dst nat. Любой трафик, направленный на твой NAT-IP на стороне Cisco, исходящий от твоей удаленной подсети, направляй через dst-nat в твою LAN.

mjgraham

Guest

17.10.2014 03:50:00

Спасибо за твой вклад, я на самом деле сегодня заставил это работать. Сохранил конфиг, перезапустил обе стороны заново и сделал то, что, как я думал, уже делал, но тогда не получалось. Но думаю, в чем дело, так это порядок в списке файрвола. Выложу конфиг, как только точно убежусь, что все в порядке. Самое обидное, что это было одно из тех, когда знаешь, что ты уже пробовал это сто раз, а потом вдруг начинает работать без видимой причины. Ты прав, у меня был srcnat для отправки моего IP к ним и dstnat, когда они возвращаются ко мне, но по какой-то причине dstnat никогда не срабатывал. Я видел пакет со своей стороны, но не знал, что с ним делать. В общем, посмотрим, что будет завтра. Повезло, что был ASA для тестирования.

mjgraham Guest	#8 0 18.10.2014 01:05:00 Ну что я не понимаю, я проделал настройки пять раз с обеих сторон, и все работает, как и должно было с самого начала. Вот немного контекста этого теста. Обычно у меня нет доступа к чему-либо на удаленной стороне, поэтому пока я не протестирую в поле, я буду предполагать, что это будет работать, оно работало на тестовой платформе. Моя сеть: 192.168.1.0/24 удаленная сеть: 192.168.2.1/24 мой внешний IP: 1.1.1.1/30 удаленный IP: 1.1.1.2/30 nat 192.168.1.3 → 10.1.1.3. Вот команды, которые я использовал для настройки. Еще я понял, что это кажется очевидным, но в тестовой настройке об этом не всегда думаешь, например, о маршрутах по умолчанию, да, они подключены друг к другу, но это имеет значение. В общем, если кому-нибудь это нужно или возникнут вопросы, вот что я сделал. Мне удалось протащить около 17 Мбит зашифрованных данных через aes-256, 128 было немного быстрее — 19 Мбит, а 3DES — около 7 Мбит. Довольно неплохо для устройства стоимостью 60 долларов. /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-256-ctr /ip firewall filter add chain=input protocol=icmp add chain=input connection-state=established add chain=input connection-state=related add chain=input in-interface=ether1 src-address=1.1.1.2 add action=drop chain=input in-interface=ether1 log=yes log-prefix=input-drop- add chain=forward dst-address=10.1.1.3 in-interface=ether1 src-address=192.168.2.0/24 add chain=forward connection-state=established add chain=forward connection-state=related add action=drop chain=forward connection-state=invalid log=yes log-prefix=forward-invalid- /ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.2.0/24 src-address=192.168.1.3 to-addresses=10.1.1.3 add action=dst-nat chain=dstnat dst-address=10.1.1.3 src-address=192.168.2.0/24 to-addresses=192.168.1.3 add action=src-nat chain=srcnat dst-address=0.0.0.0 src-address=192.168.1.0/24 to-addresses=1.1.1.1 /ip ipsec peer add address=1.1.1.2/32 dpd-interval=disable-dpd enc-algorithm=aes-256 nat-traversal=no secret=test send-initial-contact=no /ip ipsec policy add dst-address=192.168.2.0/24 sa-dst-address=1.1.1.2 sa-src-address=1.1.1.1 src-address=10.1.1.3/32 tunnel=yes /ip route add distance=1 gateway=ether1

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры