Конференция CiscoLab: Ipsec L2L Через Nat - Конференция CiscoLab

Перейти к содержимому

Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

Ipsec L2L Через Nat

#1 Пользователь офлайн   Doc Иконка

  • Пользователь
  • PipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 0
Обычный

Отправлено 06 Январь 2017 - 15:51

Господа , бьюсь с поднятием ipsec тоннеля с такой схемой
ASA5520 с реальным IP - инет- LINUX NAT - Cisco 2911

сумел добиться поднятия тоннеля , но только в такой вот конфигурации со стороны 2911

crypto isakmp key 123 address 213.221.6.2
crypto isakmp key 123 address 192.11.11.1
crypto map ITG 1 ipsec-isakmp
description Tunnel to ITG
set peer 213.221.6.2
set peer 192.11.11.1
set transform-set ESP-3DES-SHA
set pfs group2
match address 121
access-list 121 permit ip 192.0.0.0 0.15.255.255 host 10.37.3.17
access-list 121 permit ip 192.0.2.0 0.0.0.255 host 10.129.101.45
access-list 121 permit ip 192.0.2.0 0.0.0.255 host 10.129.101.85
access-list 121 permit ip 192.0.2.0 0.0.0.255 host 10.24.8.10

тоннель поднимается но трафик не ходит.
счетчики ACL 121 на 2911 не отрабатывают
на ASA5520 все в порядке и ACL отрабатывает

причем если убрать пир с внутренним адресом LINUX NAT то первая фаза не проходит
в дебаге видно, что ipsec ищет пароль на 192.11.11.1 и не найдя его роняет тоннель
прочитав вот эту инструкцию http://www.cisco.com/cisco/web/support/RU/9/92/92107_ipsecna... подозреваю что на NAT не хватает isakmp nat-traversal 2, но какой эквивалент данной команды в linux я не могу понять :(

Оговорюсь, что с пробросами все в порядке, так как Cisco Easy VPN через NAT и 2911 работает
ICND, ASA VPN
-----------------------
Малое знание опасно, впрочем как и большое.
0

Поделиться темой:


Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

1 человек читают эту тему
0 пользователей, 1 гостей, 0 скрытых пользователей