Jump to content
  • 0

NAT през IPsec


Щирлиц
 Share

Question

Здравейте Колеги и весели празници 🙂

Ситуацията е следната - 2 мрежи са свързани през IPsec: 1. публично ИП 1.1.1.1 и мрежа 10.1.1.0/24, втората мрежа е с публично ИП 2.2.2.2 и мрежа зад него 192.168.0.0/24. И на двете места рутерите са Микротик.

Въпроса е, как да НАТ-на ИП 1.1.1.1:80 към ИП от втората мрежа, примерно 192.168.0.117:80

Link to comment
Share on other sites

Recommended Posts

  • 0
  • Administrator

сложи рутинг правила 
 

/ip route
add distance=2 dst-address=10.44.55.0/24 gateway=172.31.190.101

При мен е с L2TP без IPsec за да не си губя времето на процесора в лагване вместо да имам скорост.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
Преди 10 часа, JohnTRIVOLTA написа:

Като сложеш такъв нат към него адрес какво се случва ?

Нищо. През правилото минават пакети, но Апача въобще не разбира, че някой се опитва да си говори с него 🙂

Преди 5 часа, 111111 написа:

сложи рутинг правила 
 


/ip route
add distance=2 dst-address=10.44.55.0/24 gateway=172.31.190.101

При мен е с L2TP без IPsec за да не си губя времето на процесора в лагване вместо да имам скорост.

Би ми свършило идеална работа, но кой е гейта в моя случай?

Link to comment
Share on other sites

  • 0
  • Administrator

Отсрещният рутер.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
преди 43 минути, 111111 написа:

Отсрещният рутер.

Не става - gateway unreachable

Link to comment
Share on other sites

  • 0
  • Administrator

При мен както казах не е ипсек ами л2тп.
При създаване на връзката имам локален и отдалечен адрес и аз давам отдалеченят.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Според мен, това е проблема, че при ИПсек няма локален и отдалечен адрес ...... Мисля да пробвам с OVPN - там поне има интерфейс, през който да нат-на нещата

Link to comment
Share on other sites

  • 0

То е ясно , че ако имаме някакъв тунелен интерфейс с IPSEC ще се изрутира, но чистият ipsec е само с полиси , което, определя кои пакети да криптира и към кой адрес да ги адресира.

Link to comment
Share on other sites

  • 0
  • Administrator
преди 33 минути, Щирлиц написа:

Според мен, това е проблема, че при ИПсек няма локален и отдалечен адрес ...... Мисля да пробвам с OVPN - там поне има интерфейс, през който да нат-на нещата

L2TP си кара ipsec 

Параноя ли ви гони или ползвате CCR ще да си дигате лага и процесорното време да криптирате по 2-3 пъти трафика?

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
преди 27 минути, Щирлиц написа:

Според мен, това е проблема, че при ИПсек няма локален и отдалечен адрес ...... Мисля да пробвам с OVPN - там поне има интерфейс, през който да нат-на нещата

Може да се пробва пускане на GRE или IPIP върху ipsec-a , които са с транспорт съответно 10.1.1.1/24 и 192.168.0.1/24 и обратната, като им назначиш една /30ка върху , която ще рутираш !

Link to comment
Share on other sites

  • 0
преди 55 минути, 111111 написа:

L2TP си кара ipsec 

Параноя ли ви гони или ползвате CCR ще да си дигате лага и процесорното време да криптирате по 2-3 пъти трафика?

При мен са и двете 🙂 Не мога да ти кажа какви данни се търкалят, ама на моменти имам чувството, че параноята ми е даже малко, а и имам 2 резервни бройки CCR1036-16G на склад

Link to comment
Share on other sites

  • 0

Става с един srcnat преди dstnat - всички заявки към отдалечената мрежа или ИП се пренасочват към локалното IP на рутера за да се "излъже" политиката на ИПсек-а.

 

Link to comment
Share on other sites

  • 0
Преди 1 час, Щирлиц написа:

Става с един srcnat преди dstnat - всички заявки към отдалечената мрежа или ИП се пренасочват към локалното IP на рутера за да се "излъже" политиката на ИПсек-а.

 

Дай точен пример , че не се разбира нищо - сорс нат е последен в пакет флоу в пострутинг веригата, а дистеинейшън нат пък е в самото начало в прерутинг веригата, така че реално няма как да е преди него! Това че са в една секция в ip fi nat не означава , че правилото src-nat , като е по-горе важи за верига dst-nat !

P.S. Ти така или иначе трябва да имаш в двата рутера по едно правило в нат , което да е изключене /action=accept / за сорс нат на заявките към локалните мрежи /! Да не би да си забравил да ги сложиш при конфига ?

Edited by JohnTRIVOLTA
Link to comment
Share on other sites

  • 0
преди 10 минути, JohnTRIVOLTA написа:

Дай точен пример , че не се разбира нищо - сорс нат е последен в пакет флоу в пострутинг веригата, а дистеинейшън нат пък е в самото начало в прерутинг веригата, така че реално няма как да е преди него! Това че са в една секция в ip fi nat не означава , че правилото src-nat , като е по-горе важи за верига dst-nat !

P.S. Ти така или иначе трябва да имаш в двата рутера по едно правило в нат , което да е изключене /action=accept / за сорс нат на заявките към локалните мрежи /! Да не би да си забравил да ги сложиш при конфига ?

/ip firewall nat

add action=src-nat chain=srcnat disabled=no dst-address=192.168.0.0/24 to-addresses=10.1.1.1

add action=dst-nat chain=dstnat  disabled=no dst-address 1.1.1.1 dst-port=80  protocol=tcp to-addresses=192.168.0.117 to-ports=80

add action=masquerade chain=srcnat out-interface=ether1

Link to comment
Share on other sites

  • 0
 /ip firewall nat

add action=src-nat chain=srcnat disabled=no dst-address=192.168.0.0/24 to-addresses=10.1.1.1 

Хитро и интересно, сменяш сорс адреса с локалният за да го хване полисито ! Така обаче се натват и локалните заявки от мрежата или това не е проблем ? Проблем, че реално 10.1.1.0/24 ще е скрита за 192.168.0.0/24 по този начин ?

 

Edited by JohnTRIVOLTA
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.