NAT през IPsec

[Щирлиц]

Здравейте Колеги и весели празници

Ситуацията е следната - 2 мрежи са свързани през IPsec: 1. публично ИП 1.1.1.1 и мрежа 10.1.1.0/24, втората мрежа е с публично ИП 2.2.2.2 и мрежа зад него 192.168.0.0/24. И на двете места рутерите са Микротик.

Въпроса е, как да НАТ-на ИП 1.1.1.1:80 към ИП от втората мрежа, примерно 192.168.0.117:80

[JohnTRIVOLTA]

Като сложеш такъв нат към него адрес какво се случва ?

[111111]

сложи рутинг правила 
 

/ip route
add distance=2 dst-address=10.44.55.0/24 gateway=172.31.190.101

При мен е с L2TP без IPsec за да не си губя времето на процесора в лагване вместо да имам скорост.

[Щирлиц]

Преди 10 часа, JohnTRIVOLTA написа:

Като сложеш такъв нат към него адрес какво се случва ?

Нищо. През правилото минават пакети, но Апача въобще не разбира, че някой се опитва да си говори с него

Преди 5 часа, 111111 написа:

сложи рутинг правила 
 

/ip route
add distance=2 dst-address=10.44.55.0/24 gateway=172.31.190.101

При мен е с L2TP без IPsec за да не си губя времето на процесора в лагване вместо да имам скорост.

Би ми свършило идеална работа, но кой е гейта в моя случай?

[111111]

Отсрещният рутер.

[Щирлиц]

преди 43 минути, 111111 написа:

Отсрещният рутер.

Не става - gateway unreachable

[111111]

При мен както казах не е ипсек ами л2тп.
При създаване на връзката имам локален и отдалечен адрес и аз давам отдалеченят.

[Щирлиц]

Според мен, това е проблема, че при ИПсек няма локален и отдалечен адрес ...... Мисля да пробвам с OVPN - там поне има интерфейс, през който да нат-на нещата

[JohnTRIVOLTA]

То е ясно , че ако имаме някакъв тунелен интерфейс с IPSEC ще се изрутира, но чистият ipsec е само с полиси , което, определя кои пакети да криптира и към кой адрес да ги адресира.

[111111]

преди 33 минути, Щирлиц написа:

Според мен, това е проблема, че при ИПсек няма локален и отдалечен адрес ...... Мисля да пробвам с OVPN - там поне има интерфейс, през който да нат-на нещата

L2TP си кара ipsec 

Параноя ли ви гони или ползвате CCR ще да си дигате лага и процесорното време да криптирате по 2-3 пъти трафика?

[JohnTRIVOLTA]

преди 27 минути, Щирлиц написа:

Според мен, това е проблема, че при ИПсек няма локален и отдалечен адрес ...... Мисля да пробвам с OVPN - там поне има интерфейс, през който да нат-на нещата

Може да се пробва пускане на GRE или IPIP върху ipsec-a , които са с транспорт съответно 10.1.1.1/24 и 192.168.0.1/24 и обратната, като им назначиш една /30ка върху , която ще рутираш !

[Щирлиц]

преди 55 минути, 111111 написа:

L2TP си кара ipsec 

Параноя ли ви гони или ползвате CCR ще да си дигате лага и процесорното време да криптирате по 2-3 пъти трафика?

При мен са и двете  Не мога да ти кажа какви данни се търкалят, ама на моменти имам чувството, че параноята ми е даже малко, а и имам 2 резервни бройки CCR1036-16G на склад

[Щирлиц]

Става с един srcnat преди dstnat - всички заявки към отдалечената мрежа или ИП се пренасочват към локалното IP на рутера за да се "излъже" политиката на ИПсек-а.

 

[JohnTRIVOLTA]

Преди 1 час, Щирлиц написа:

Става с един srcnat преди dstnat - всички заявки към отдалечената мрежа или ИП се пренасочват към локалното IP на рутера за да се "излъже" политиката на ИПсек-а.

 

Дай точен пример , че не се разбира нищо - сорс нат е последен в пакет флоу в пострутинг веригата, а дистеинейшън нат пък е в самото начало в прерутинг веригата, така че реално няма как да е преди него! Това че са в една секция в ip fi nat не означава , че правилото src-nat , като е по-горе важи за верига dst-nat !

P.S. Ти така или иначе трябва да имаш в двата рутера по едно правило в нат , което да е изключене /action=accept / за сорс нат на заявките към локалните мрежи /! Да не би да си забравил да ги сложиш при конфига ?

Edited April 18, 2020 by JohnTRIVOLTA

[Щирлиц]

преди 10 минути, JohnTRIVOLTA написа:

Дай точен пример , че не се разбира нищо - сорс нат е последен в пакет флоу в пострутинг веригата, а дистеинейшън нат пък е в самото начало в прерутинг веригата, така че реално няма как да е преди него! Това че са в една секция в ip fi nat не означава , че правилото src-nat , като е по-горе важи за верига dst-nat !

P.S. Ти така или иначе трябва да имаш в двата рутера по едно правило в нат , което да е изключене /action=accept / за сорс нат на заявките към локалните мрежи /! Да не би да си забравил да ги сложиш при конфига ?

/ip firewall nat

add action=src-nat chain=srcnat disabled=no dst-address=192.168.0.0/24 to-addresses=10.1.1.1

add action=dst-nat chain=dstnat  disabled=no dst-address 1.1.1.1 dst-port=80  protocol=tcp to-addresses=192.168.0.117 to-ports=80

add action=masquerade chain=srcnat out-interface=ether1

[JohnTRIVOLTA]

 /ip firewall nat

add action=src-nat chain=srcnat disabled=no dst-address=192.168.0.0/24 to-addresses=10.1.1.1 

Хитро и интересно, сменяш сорс адреса с локалният за да го хване полисито ! Така обаче се натват и локалните заявки от мрежата или това не е проблем ? Проблем, че реално 10.1.1.0/24 ще е скрита за 192.168.0.0/24 по този начин ?

 

Edited April 18, 2020 by JohnTRIVOLTA