Аппаратная версия устройства: TL-ER6120
Версия прошивки: 1.0.7 Build 20140113 Rel.63736
Ваша страна: Россия
Доброго времени суток!
Есть 2 железки TL-ER6120
Необходимо пробросить IPSec тоннель между 2-мя подсетями, через NAT провайдера с одной стороны.
На 1 TL-ER6120 Честный IP, на втором фейк, со стороны провайдера поднят NAT (IP закреплен)
По стандартному гайду IPSec тоннель не поднимается.
Максимум к чему пришел - тоннель устанавливается только если для маршрутизатора, который находится за NAT, в IKE Policy использовать FQDN для Local ID, и соотв-но на удаленном указать тот же FQDN для Remote ID.
Тоннель поднимается, но траффик не ходит.
В параметрах тоннеля (IPSec SA) на одной стороне пишет Честный IP --- Честный IP, на стороне за NAT: Фейковый IP --- Честный IP.
В настройках фаерволов с обеих сторон поставил на период теста Any to Any - Lan.
Кто-нибудь настраивал через NAT?
Есть ли тонкости?
Дорогие пользователи! У нас появился новый форум на платформе tp-link.community (Сообщество)
Форум доступен по ссылке https://community.tp-link.com/ru
Если при регистрации в Сообществе Вы укажете адрес электронный почты, который используете на данном форуме, то Ваши данные будут перенесены на форум Сообщества автоматически.
Также, если на форуме Сообщества Ваш никнейм будет занят, то Вам предложат сменить его или оставить, но с приставкой "_RU".
Подробнее Вы можете прочитать тут: https://community.tp-link.com/ru/home/f ... pic/501542
Убедительная просьба не дублировать темы на старом/новом форуме.
Форум доступен по ссылке https://community.tp-link.com/ru
Если при регистрации в Сообществе Вы укажете адрес электронный почты, который используете на данном форуме, то Ваши данные будут перенесены на форум Сообщества автоматически.
Также, если на форуме Сообщества Ваш никнейм будет занят, то Вам предложат сменить его или оставить, но с приставкой "_RU".
Подробнее Вы можете прочитать тут: https://community.tp-link.com/ru/home/f ... pic/501542
Убедительная просьба не дублировать темы на старом/новом форуме.
IPSec через NAT.
Правила форума
Правила форума TP-LINK lll ЧАВО lll Первичная настройка WAN роутера lll Настройка под провайдеров lll Официальные прошивки и драйверы lll
Правила форума TP-LINK lll ЧАВО lll Первичная настройка WAN роутера lll Настройка под провайдеров lll Официальные прошивки и драйверы lll
Re: IPSec через NAT.
Всё будет работать через aggressive mode в том случае, если хотя бы с одной стороны будет публичный (белый) ip.
Перед тем, как создать тему, посетите раздел ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ
TP-LINK Archer C7v2
Личные сообщения по техническим проблемам без сообщения на форуме не рассматриваются!
TP-LINK Archer C7v2
Личные сообщения по техническим проблемам без сообщения на форуме не рассматриваются!
Re: IPSec через NAT.
Агрессив на обоих железках или на той которая с фейком? (просто чтобы долго не искать)Goodwin писал(а):Всё будет работать через aggressive mode в том случае, если хотя бы с одной стороны будет публичный (белый) ip.
Re: IPSec через NAT.
Странный вопрос. Вы когда-нибудь настраивали IPSec? Если нет, то надо читать инструкции.
http://www.tp-linkru.com/old/article/?faqid=380 - на шаге 2 вместо режима Main надо ставить aggressive, само собой с двух сторон.
http://www.tp-linkru.com/old/article/?faqid=380 - на шаге 2 вместо режима Main надо ставить aggressive, само собой с двух сторон.
Перед тем, как создать тему, посетите раздел ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ
TP-LINK Archer C7v2
Личные сообщения по техническим проблемам без сообщения на форуме не рассматриваются!
TP-LINK Archer C7v2
Личные сообщения по техническим проблемам без сообщения на форуме не рассматриваются!
Re: IPSec через NAT.
Сорр, сам себя запутал (в мануале однозначно написано).
Exchange Mode:
Select the IKE Exchange Mode in phase 1, and ensure the remote VPN
peer uses the same mode.
Main:
Main mode provides identity protection and exchanges more
information, which applies to the scenarios with hig
her requirement
for identity protection.
Aggressive
:
Aggressive Mode establishes a faster connection but
with lower security, which applies to scenarios with lower
requirement for identity protection
Exchange Mode:
Select the IKE Exchange Mode in phase 1, and ensure the remote VPN
peer uses the same mode.
Main:
Main mode provides identity protection and exchanges more
information, which applies to the scenarios with hig
her requirement
for identity protection.
Aggressive
:
Aggressive Mode establishes a faster connection but
with lower security, which applies to scenarios with lower
requirement for identity protection