Comments | ru_cisco: VPN между Cisco и Mikrotik за NAT.

copepods in ru_cisco

VPN между Cisco и Mikrotik за NAT.

Jul 17, 2014 22:21

Добрый день, коллеги ( Read more... )

Comments 10

ciberkot July 17 2014, 23:32:18 UTC

а на циске в профиле IPsec стоит что он NAT понимать должен?

copepods July 18 2014, 05:44:52 UTC

crypto ipsec nat-transparency udp-encaps включен на циске по дефолту. или что-то еще?

nkz_alex July 18 2014, 06:32:38 UTC

Для юрлиц есть почти у всех операторов услуга статический ip адрес, стоит недорого.

copepods July 18 2014, 07:13:41 UTC

Возможный вариант, Но нужены 3G роутеры с поддержкой бриджа, договора с несколькими операторами, административные процедуры. В общем, хотелось бы этого избежать.

Thread 5

owk4 July 18 2014, 07:21:09 UTC

conf t
int tun X
tunnel mode ipsec ipv4

Очень замечательно живет за натом. Это если у вас VTI конечно.

А так - что-то у вас не то. Циска без дополнительных телодвижений обычные криптомапы терминирует без проблем, вне зависимости, за натом клиент или нет. У меня что линксисы, что Vigor-ы, что зюхи работают на ура.

copepods July 18 2014, 08:33:54 UTC

а что в tunnel destination?

owk4 July 18 2014, 09:35:05 UTC

Статический ip провайдера, который полностью транслируется на статический IP в той серой сети за роутером. В случае с 3g-роутерами за рупь - настраиваем функцию DMZ, все галочки VPN passthrough и вуаля.

copepods July 18 2014, 10:38:27 UTC

"Полностью транслируется" имеется в виду static nat? У меня нет уверенности, что там будет не PAT.
Да и не удобно получается, когда надо воткнуть временное решение на несколько часов. Инженер приезжает, узнает свой внешний ip, звонит для настройки туннеля и т.п. А если вечер/выходной, на циску никто зайти не может. Поэтому ищу решение, когда в центре ничего донастраивать не надо.

Thread 5