Дорогие пользователи! У нас появился новый форум на платформе tp-link.community (Сообщество)

Форум доступен по ссылке https://community.tp-link.com/ru

Если при регистрации в Сообществе Вы укажете адрес электронный почты, который используете на данном форуме, то Ваши данные будут перенесены на форум Сообщества автоматически.
Также, если на форуме Сообщества Ваш никнейм будет занят, то Вам предложат сменить его или оставить, но с приставкой "_RU".

Подробнее Вы можете прочитать тут: https://community.tp-link.com/ru/home/f ... pic/501542

Убедительная просьба не дублировать темы на старом/новом форуме.

IPSec через NAT.

Гигабитный VPN маршрутизатор на базе технологии SafeStream™ с поддержкой нескольких WAN
Ответить
ryasnoy
Сообщения: 3
Зарегистрирован: 01 фев 2016, 11:48
Страна: Россия

IPSec через NAT.

Сообщение ryasnoy » 01 фев 2016, 13:05

Аппаратная версия устройства: TL-ER6120
Версия прошивки: 1.0.7 Build 20140113 Rel.63736
Ваша страна: Россия
Доброго времени суток!
Есть 2 железки TL-ER6120
Необходимо пробросить IPSec тоннель между 2-мя подсетями, через NAT провайдера с одной стороны.
На 1 TL-ER6120 Честный IP, на втором фейк, со стороны провайдера поднят NAT (IP закреплен)
По стандартному гайду IPSec тоннель не поднимается.
Максимум к чему пришел - тоннель устанавливается только если для маршрутизатора, который находится за NAT, в IKE Policy использовать FQDN для Local ID, и соотв-но на удаленном указать тот же FQDN для Remote ID.
Тоннель поднимается, но траффик не ходит.
В параметрах тоннеля (IPSec SA) на одной стороне пишет Честный IP --- Честный IP, на стороне за NAT: Фейковый IP --- Честный IP.
В настройках фаерволов с обеих сторон поставил на период теста Any to Any - Lan.

Кто-нибудь настраивал через NAT?
Есть ли тонкости?

Goodwin
Сообщения: 4361
Зарегистрирован: 25 май 2011, 10:56
Страна: Россия

Re: IPSec через NAT.

Сообщение Goodwin » 02 фев 2016, 11:56

Всё будет работать через aggressive mode в том случае, если хотя бы с одной стороны будет публичный (белый) ip.
Перед тем, как создать тему, посетите раздел ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ
TP-LINK Archer C7v2
Личные сообщения по техническим проблемам без сообщения на форуме не рассматриваются!

ryasnoy
Сообщения: 3
Зарегистрирован: 01 фев 2016, 11:48
Страна: Россия

Re: IPSec через NAT.

Сообщение ryasnoy » 02 фев 2016, 11:59

Goodwin писал(а):Всё будет работать через aggressive mode в том случае, если хотя бы с одной стороны будет публичный (белый) ip.
Агрессив на обоих железках или на той которая с фейком? (просто чтобы долго не искать)

Goodwin
Сообщения: 4361
Зарегистрирован: 25 май 2011, 10:56
Страна: Россия

Re: IPSec через NAT.

Сообщение Goodwin » 02 фев 2016, 12:09

Странный вопрос. Вы когда-нибудь настраивали IPSec? Если нет, то надо читать инструкции.
http://www.tp-linkru.com/old/article/?faqid=380 - на шаге 2 вместо режима Main надо ставить aggressive, само собой с двух сторон.
Перед тем, как создать тему, посетите раздел ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ
TP-LINK Archer C7v2
Личные сообщения по техническим проблемам без сообщения на форуме не рассматриваются!

ryasnoy
Сообщения: 3
Зарегистрирован: 01 фев 2016, 11:48
Страна: Россия

Re: IPSec через NAT.

Сообщение ryasnoy » 02 фев 2016, 12:16

Сорр, сам себя запутал (в мануале однозначно написано).

Exchange Mode:
Select the IKE Exchange Mode in phase 1, and ensure the remote VPN
peer uses the same mode.


Main:
Main mode provides identity protection and exchanges more
information, which applies to the scenarios with hig
her requirement
for identity protection.

Aggressive
:
Aggressive Mode establishes a faster connection but
with lower security, which applies to scenarios with lower
requirement for identity protection

Ответить

Вернуться в «TL-ER6120»