К списку форумов К списку тем
Регистрация    Правила    Главная форума    Поиск   
Имя: Пароль:
Рекомендовать в новости

VPN + NAT CISCO ASA

0 - 28.11.2019 - 13:27
Добрый день, друзья и коллеги. Столкнулся с проблемой при настройке трансляции трафика выходящего из IPSec туннеля на Cisco ASA.
Суть проблемы в следующем:
Дано:
1) АТС 1 с адресом 192.168.1.2, шлюзом у которой является аса 1.
2) АТС 2 с адресом 172.23.0.2, шлюзом у которой является аса 2
3) IPSec туннель между асами 1 и 2.

На асе 1 настроено статическое правило трансляции, заменяющее адрес АТС 1 на 10.20.0.1 такого типа:

nat (inside,outside) source static ATS_1 10.20.0.1 destination static ATS_2 ATS_2 no-proxy-arp

Правило отрабатывает корректно при прохождении трафика в обе стороны, но согласно выводу packet-tracer пакет дропается при возвращении трафика с ASA 2 на этапе:

Phase: 7
Type: VPN
Subtype: ipsec-tunnel-flow
Result: DROP

При этом, сигнализация с телефона, подключенного к АТС 1 на телефон, подключенный к АТС 2 проходит, телефон звонит, но голос не ходит. При звонке с АТС 2 на АТС 1 звонок вообще не идет.

Криптокарта настроена корректно. ACL трафик пропускает. От ната отказаться нельзя, требование бигбосса. Надеюсь, написал не слишком сумбурно.

Где-то читал, что VPN-трафик натить нельзя, но это не точно.

Спасибо!



1 - 28.11.2019 - 20:42
avaya?
2 - 28.11.2019 - 23:01
АТС 1 - Panasonic tda600
АТС 2 - Siemens hipath 4000
3 - 29.11.2019 - 23:58
В общем, разобрался. Может, кому пригодится. Согласно packet flow diagram, при достижении пакетом интерфейса, сначала идёт нат, потом шифрование и отправка в туннель. При пересылке пакета от асы 1 к асе 2 проблем не возникает. Пакет сначала снатился, потом отправился в туннель. Но обратный пакет аса пытается натить ещё до декапсуляции туннельных заголовков, соответственно не находит правила трансляции, декапсулирует пакет, и дальше не знает, куда его деть, т.к. маршрута до сети 10.20.0.0 у нее нет. Что мы и видим в выводе packet tracer. Как обойти это, я честно говоря хз.
4 - 30.11.2019 - 14:05
Цитата:
Сообщение от anekmove Посмотреть сообщение
Но обратный пакет аса пытается натить ещё до декапсуляции туннельных заголовков, соответственно не находит правила трансляции,
Не помню как на асашке, но ну роутере пишется для ната ацл, с признаком no nat, т.е. чтоб по определенным правиалам НЕ натился трафик
5 - 07.12.2019 - 11:23
4-petrovichr >

+1, на Mikrotik пишется правило в NAT, которое поднимается выше основного маскарадинга.

Например:

add chain=srcnat action=accept src-address=192.168.2.0/23 dst-address=192.168.0.0/24

add chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=WAN


К списку вопросов
Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск




Copyright ©, Все права защищены