Jump to content
  • 0

NAT през IPsec


Щирлиц

Въпрос

Здравейте Колеги и весели празници 🙂

Ситуацията е следната - 2 мрежи са свързани през IPsec: 1. публично ИП 1.1.1.1 и мрежа 10.1.1.0/24, втората мрежа е с публично ИП 2.2.2.2 и мрежа зад него 192.168.0.0/24. И на двете места рутерите са Микротик.

Въпроса е, как да НАТ-на ИП 1.1.1.1:80 към ИП от втората мрежа, примерно 192.168.0.117:80

Адрес на коментара
Сподели в други сайтове

Recommended Posts

  • 0
  • Администратор

сложи рутинг правила 
 

/ip route
add distance=2 dst-address=10.44.55.0/24 gateway=172.31.190.101

При мен е с L2TP без IPsec за да не си губя времето на процесора в лагване вместо да имам скорост.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0
Преди 10 часа, JohnTRIVOLTA написа:

Като сложеш такъв нат към него адрес какво се случва ?

Нищо. През правилото минават пакети, но Апача въобще не разбира, че някой се опитва да си говори с него 🙂

Преди 5 часа, 111111 написа:

сложи рутинг правила 
 


/ip route
add distance=2 dst-address=10.44.55.0/24 gateway=172.31.190.101

При мен е с L2TP без IPsec за да не си губя времето на процесора в лагване вместо да имам скорост.

Би ми свършило идеална работа, но кой е гейта в моя случай?

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Отсрещният рутер.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

При мен както казах не е ипсек ами л2тп.
При създаване на връзката имам локален и отдалечен адрес и аз давам отдалеченят.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

Според мен, това е проблема, че при ИПсек няма локален и отдалечен адрес ...... Мисля да пробвам с OVPN - там поне има интерфейс, през който да нат-на нещата

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

То е ясно , че ако имаме някакъв тунелен интерфейс с IPSEC ще се изрутира, но чистият ipsec е само с полиси , което, определя кои пакети да криптира и към кой адрес да ги адресира.

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
преди 33 минути, Щирлиц написа:

Според мен, това е проблема, че при ИПсек няма локален и отдалечен адрес ...... Мисля да пробвам с OVPN - там поне има интерфейс, през който да нат-на нещата

L2TP си кара ipsec 

Параноя ли ви гони или ползвате CCR ще да си дигате лага и процесорното време да криптирате по 2-3 пъти трафика?

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
преди 27 минути, Щирлиц написа:

Според мен, това е проблема, че при ИПсек няма локален и отдалечен адрес ...... Мисля да пробвам с OVPN - там поне има интерфейс, през който да нат-на нещата

Може да се пробва пускане на GRE или IPIP върху ipsec-a , които са с транспорт съответно 10.1.1.1/24 и 192.168.0.1/24 и обратната, като им назначиш една /30ка върху , която ще рутираш !

Адрес на коментара
Сподели в други сайтове

  • 0
преди 55 минути, 111111 написа:

L2TP си кара ipsec 

Параноя ли ви гони или ползвате CCR ще да си дигате лага и процесорното време да криптирате по 2-3 пъти трафика?

При мен са и двете 🙂 Не мога да ти кажа какви данни се търкалят, ама на моменти имам чувството, че параноята ми е даже малко, а и имам 2 резервни бройки CCR1036-16G на склад

Адрес на коментара
Сподели в други сайтове

  • 0

Става с един srcnat преди dstnat - всички заявки към отдалечената мрежа или ИП се пренасочват към локалното IP на рутера за да се "излъже" политиката на ИПсек-а.

 

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Отговорено (Редактирано)
Преди 1 час, Щирлиц написа:

Става с един srcnat преди dstnat - всички заявки към отдалечената мрежа или ИП се пренасочват към локалното IP на рутера за да се "излъже" политиката на ИПсек-а.

 

Дай точен пример , че не се разбира нищо - сорс нат е последен в пакет флоу в пострутинг веригата, а дистеинейшън нат пък е в самото начало в прерутинг веригата, така че реално няма как да е преди него! Това че са в една секция в ip fi nat не означава , че правилото src-nat , като е по-горе важи за верига dst-nat !

P.S. Ти така или иначе трябва да имаш в двата рутера по едно правило в нат , което да е изключене /action=accept / за сорс нат на заявките към локалните мрежи /! Да не би да си забравил да ги сложиш при конфига ?

Редактирано от JohnTRIVOLTA
Адрес на коментара
Сподели в други сайтове

  • 0
преди 10 минути, JohnTRIVOLTA написа:

Дай точен пример , че не се разбира нищо - сорс нат е последен в пакет флоу в пострутинг веригата, а дистеинейшън нат пък е в самото начало в прерутинг веригата, така че реално няма как да е преди него! Това че са в една секция в ip fi nat не означава , че правилото src-nat , като е по-горе важи за верига dst-nat !

P.S. Ти така или иначе трябва да имаш в двата рутера по едно правило в нат , което да е изключене /action=accept / за сорс нат на заявките към локалните мрежи /! Да не би да си забравил да ги сложиш при конфига ?

/ip firewall nat

add action=src-nat chain=srcnat disabled=no dst-address=192.168.0.0/24 to-addresses=10.1.1.1

add action=dst-nat chain=dstnat  disabled=no dst-address 1.1.1.1 dst-port=80  protocol=tcp to-addresses=192.168.0.117 to-ports=80

add action=masquerade chain=srcnat out-interface=ether1

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Отговорено (Редактирано)
 /ip firewall nat

add action=src-nat chain=srcnat disabled=no dst-address=192.168.0.0/24 to-addresses=10.1.1.1 

Хитро и интересно, сменяш сорс адреса с локалният за да го хване полисито ! Така обаче се натват и локалните заявки от мрежата или това не е проблем ? Проблем, че реално 10.1.1.0/24 ще е скрита за 192.168.0.0/24 по този начин ?

 

Редактирано от JohnTRIVOLTA
Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.