Форум на Kuban.ru (http://forums.kuban.ru/)
-   Сети и их администрирование (http://forums.kuban.ru/f1029/)
-   -   VPN + NAT CISCO ASA (http://forums.kuban.ru/f1029/vpn_nat_cisco_asa-8989957.html)

Anekmove 28.11.2019 13:27
VPN + NAT CISCO ASA
 
Добрый день, друзья и коллеги. Столкнулся с проблемой при настройке трансляции трафика выходящего из IPSec туннеля на Cisco ASA.
Суть проблемы в следующем:
Дано:
1) АТС 1 с адресом 192.168.1.2, шлюзом у которой является аса 1.
2) АТС 2 с адресом 172.23.0.2, шлюзом у которой является аса 2
3) IPSec туннель между асами 1 и 2.

На асе 1 настроено статическое правило трансляции, заменяющее адрес АТС 1 на 10.20.0.1 такого типа:

nat (inside,outside) source static ATS_1 10.20.0.1 destination static ATS_2 ATS_2 no-proxy-arp

Правило отрабатывает корректно при прохождении трафика в обе стороны, но согласно выводу packet-tracer пакет дропается при возвращении трафика с ASA 2 на этапе:

Phase: 7
Type: VPN
Subtype: ipsec-tunnel-flow
Result: DROP

При этом, сигнализация с телефона, подключенного к АТС 1 на телефон, подключенный к АТС 2 проходит, телефон звонит, но голос не ходит. При звонке с АТС 2 на АТС 1 звонок вообще не идет.

Криптокарта настроена корректно. ACL трафик пропускает. От ната отказаться нельзя, требование бигбосса. Надеюсь, написал не слишком сумбурно.

Где-то читал, что VPN-трафик натить нельзя, но это не точно.

Спасибо!

wladuha 28.11.2019 20:42
avaya?

Anekmove 28.11.2019 23:01
АТС 1 - Panasonic tda600
АТС 2 - Siemens hipath 4000

Anekmove 29.11.2019 23:58
В общем, разобрался. Может, кому пригодится. Согласно packet flow diagram, при достижении пакетом интерфейса, сначала идёт нат, потом шифрование и отправка в туннель. При пересылке пакета от асы 1 к асе 2 проблем не возникает. Пакет сначала снатился, потом отправился в туннель. Но обратный пакет аса пытается натить ещё до декапсуляции туннельных заголовков, соответственно не находит правила трансляции, декапсулирует пакет, и дальше не знает, куда его деть, т.к. маршрута до сети 10.20.0.0 у нее нет. Что мы и видим в выводе packet tracer. Как обойти это, я честно говоря хз.

petrovichr 30.11.2019 14:05
[quote=anekmove;47283002]Но обратный пакет аса пытается натить ещё до декапсуляции туннельных заголовков, соответственно не находит правила трансляции,[/quote]
Не помню как на асашке, но ну роутере пишется для ната ацл, с признаком no nat, т.е. чтоб по определенным правиалам НЕ натился трафик

StepanRazin 07.12.2019 11:23
4-petrovichr >

+1, на Mikrotik пишется правило в NAT, которое поднимается выше основного маскарадинга.

Например:

add chain=srcnat action=accept src-address=192.168.2.0/23 dst-address=192.168.0.0/24

add chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=WAN


Текущее время: 05:41. Часовой пояс GMT +3.