URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 2346
[ Назад ]

Исходное сообщение
"NHRP spoke за NAT"
Отправлено cr1m2 , 24-Июл-18 09:12

Здравствуйте работает nhrp между офисами, один из споков имеет резервный канал, в котором оператор держит его за NAT'ом. Когда падает основной канал в резервном туннель не поднимается. Читал, что в cisco ios старше 15 реализован автоматический nat-t. Но на хабе вижу, что этот спок зависает с флагами DN (dynamic, nated)
1 X.X.178.228 192.168.35.6 UP 06:11:21 DN
На хабе порты udp 500, udo 4500 открыты, но полноценно хаб подключиться не может, сам роутер и ресурсы за ним недоступны.
Настройка спока за натом:
interface Tunnel1
ip address 192.168.35.6 255.255.255.240
no ip redirects
ip nhrp authentication 123
ip nhrp map multicast X.X.88.114
ip nhrp map 192.168.35.1 X.X.88.114
ip nhrp network-id 123
ip nhrp nhs 192.168.35.1
ip ospf network broadcast
ip ospf hello-interval 30
ip ospf priority 0
ip ospf mtu-ignore
cdp enable
tunnel source Dialer0
tunnel mode gre multipoint
tunnel key 123

Что надо еще добавить, чтобы туннель заработал через NAT?

Содержание

NHRP spoke за NAT,BJ, 10:01 , 24-Июл-18
- NHRP spoke за NAT,cr1m2, 11:41 , 24-Июл-18
  - NHRP spoke за NAT,cr1m2, 11:45 , 24-Июл-18
    - NHRP spoke за NAT,cr1m2, 14:56 , 24-Июл-18
      - NHRP spoke за NAT,Andrey, 11:22 , 25-Июл-18
NHRP spoke за NAT,wer, 10:42 , 03-Авг-18
- NHRP spoke за NAT,ShyLion, 10:51 , 03-Авг-18

Сообщения в этом обсуждении

"NHRP spoke за NAT"
Отправлено BJ , 24-Июл-18 10:01

а где tunnel protection ipsec profile ? Без этого никакого nat-t

"NHRP spoke за NAT"
Отправлено cr1m2 , 24-Июл-18 11:41

> а где tunnel protection ipsec profile ? Без этого никакого nat-t
Добавил
crypto ipsec transform-set myset2 ah-sha-hmac esp-aes
mode transport
!
!
crypto ipsec profile dmvpn_msk
set transform-set myset2
И в туннельный интерфейс
tunnel protection ipsec profile dmvpn_msk
Теперь хаб перестал пинговаться. Или в туннеле хаба тоже надо выполнить такие настройки?

"NHRP spoke за NAT"
Отправлено cr1m2 , 24-Июл-18 11:45

На хабе тоже применил
crypto ipsec transform-set myset esp-3des esp-sha-hmac
mode transport
!
!
crypto ipsec profile dmvpn
set transform-set myset2
Добавил в туннель
interface tunnel 1
tunnel protection ipsec profile dmvpn
Так туннель вообще не поднимается

"NHRP spoke за NAT"
Отправлено cr1m2 , 24-Июл-18 14:56

СТранно, отменил tunnel protection, как раз упал основной канал, туннель поднялся через NAT во втором аплинке.

"NHRP spoke за NAT"
Отправлено Andrey , 25-Июл-18 11:22

> СТранно, отменил tunnel protection, как раз упал основной канал, туннель поднялся через
> NAT во втором аплинке.
Странно ждать поднятие IPSec включая его с одной стороны туннеля.
NHRP может работать через NAT и без IPSec.

"NHRP spoke за NAT"
Отправлено wer , 03-Авг-18 10:42

>[оверквотинг удален]
>  ip nhrp nhs 192.168.35.1
>  ip ospf network broadcast
>  ip ospf hello-interval 30
>  ip ospf priority 0
>  ip ospf mtu-ignore
>  cdp enable
>  tunnel source Dialer0
>  tunnel mode gre multipoint
>  tunnel key 123
> Что надо еще добавить, чтобы туннель заработал через NAT?
Откройте на хабе ESP, т.к. UDP 500/4500 только для IKE(v2), а сам IPSec ходит по ESP (или AH).
Также crypto ipsec transform-set myset2 ah-sha-hmac esp-aes переведелайте в crypto ipsec transform-set myset2 esp-sha-hmac esp-aes.

"NHRP spoke за NAT"
Отправлено ShyLion , 03-Авг-18 10:51

> Откройте на хабе ESP, т.к. UDP 500/4500 только для IKE(v2), а сам
> IPSec ходит по ESP (или AH).
Через нат ESP ходит по UDP/4500.