О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

DMVPN ESR-200 за NAT

MES, ESR
ckey
Сообщения: 4
Зарегистрирован: 07 авг 2019 18:30
Reputation: 0

DMVPN ESR-200 за NAT

Сообщение ckey » 03 ноя 2021 15:35

Здравствуйте!

Software version: 1.14.0 build 27[4898f3c54] (date 13/10/2021 time 11:03:09
Hardware version: 1v9

Интересует возможность создания DMVPN у spoke с динамическим внешним ip за nat.

Предположил, что в этом случае в tunnel gre необходимо указывать не local address, а local interface в сторону провайдера, и так же в security ike gateway, но при попытке применить параметры, ругается, что в security ike gateway по прежнему необходимо указать local network - и тут не совсем понятно, что именно указывать в таком случае? Внешний ip может меняться и он за nat, указывать внутренний (т.е. к примеру local network 192.168.0.254 /32 protocol gre)?
Вообще на ESR такое реализуемо?

На ESR-200 (Spoke), основные настройки:

Код: Выделить всё

interface gigabitethernet 1/0/2
  description "ISP-2"
  security-zone untrusted
  ip address 192.168.0.254/24


object-group network dmvpnHUB
  ip address-range ###.###.###.###
exit


tunnel gre 1
  ttl 16
  mtu 1416
  multipoint
  ip firewall disable
  local interface gigabitethernet 1/0/2
  ip address 10.10.0.2/27
  ip ospf instance 1
  ip ospf area 10.10.0.0
  ip ospf priority 0
  ip ospf
  ip nhrp holding-time 300
  ip nhrp map 10.10.0.1 ###.###.###.###
  ip nhrp nhs 10.10.0.1/27
  ip nhrp ipsec ipsec_hub static
  ip nhrp ipsec ipsec_spoke dynamic
  ip nhrp multicast nhs
  ip nhrp enable
  enable
exit

security zone-pair trusted untrusted
  rule 1
    action permit
    enable
  exit

security zone-pair untrusted self
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_client
    enable
  exit
  rule 10
    action permit
    match protocol gre
    enable
  exit
  rule 11
    action permit
    match protocol esp
    enable
  exit
  rule 12
    action permit
    match protocol ah
    enable
  exit
  rule 30
    description "IPSec"
    action permit
    match protocol udp
    match source-address dmvpnHUB
    enable
  exit
  rule 31
    description "ICMP"
    action permit
    match protocol icmp
    match source-address dmvpnHUB
    enable
  exit
exit

security ike proposal ike_prop
  authentication algorithm md5
  encryption algorithm aes128
  dh-group 2
exit

security ike policy ike_pol
  pre-shared-key ascii-text encrypted ###################
  proposal ike_prop
exit

security ike gateway ike_spoke
  ike-policy ike_pol
  local interface gigabitethernet 1/0/2
  local network 192.168.0.254/32 protocol gre
  remote address any
  remote network any
  mode policy-based
exit

security ike gateway ike_hub
  ike-policy ike_pol
  local interface gigabitethernet 1/0/2
  local network 192.168.0.254/32 protocol gre
  remote address ###.###.###.###
  remote network ###.###.###.###/32 protocol gre
  mode policy-based
exit

security ipsec vpn ipsec_spoke
  mode ike
  ike establish-tunnel route
  ike gateway ike_spoke
  ike ipsec-policy ipsec_pol
  enable
exit

security ipsec vpn ipsec_hub
  mode ike
  ike establish-tunnel route
  ike gateway ike_hub
  ike ipsec-policy ipsec_pol
  enable
exit

ip route 0.0.0.0/0 192.168.0.1


На ESR-1200 (Hub):

Код: Выделить всё

vlan 4
  name "ISP-1"
exit

bridge 4
  vlan 4
  security-zone untrusted
  ip address dhcp
  enable
exit

interface gigabitethernet 1/0/1
  description "ISP-1"
  mode hybrid
  security-zone untrusted
  switchport forbidden default-vlan
  switchport general pvid 4
  switchport general allowed vlan add 4 untagged
  ip address ###.###.###.###/30
exit

tunnel gre 1
  ttl 16
  mtu 1416
  multipoint
  security-zone untrusted
  local address ###.###.###.###
  ip address 10.10.0.1/27
  ip ospf instance 1
  ip ospf area 10.10.0.0
  ip ospf priority 255
  ip ospf
  ip nhrp ipsec ipsec_spoke dynamic
  ip nhrp multicast dynamic
  ip nhrp enable
  enable
exit

security zone-pair trusted untrusted
  rule 1
    action permit
    enable
  exit
exit

security zone-pair untrusted self
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_client
    enable
  exit
  rule 10
    action permit
    match protocol gre
    enable
  exit
  rule 11
    action permit
    match protocol esp
    enable
  exit
  rule 12
    action permit
    match protocol ah
    enable
  exit
exit

security ike proposal ike_prop
  authentication algorithm md5
  encryption algorithm aes128
  dh-group 2
exit

security ike policy ike_pol
  pre-shared-key ascii-text encrypted ###################
  proposal ike_prop
exit

security ike gateway ike_spoke
  ike-policy ike_pol
  local address ###.###.###.###
  local network ###.###.###.###/32 protocol gre
  remote address any
  remote network any
  mode policy-based
exit

security ipsec proposal ipsec_prop
  authentication algorithm md5
  encryption algorithm aes128
  pfs dh-group 2
exit

security ipsec policy ipsec_pol
  proposal ipsec_prop
exit

security ipsec vpn ipsec_spoke
  mode ike
  ike establish-tunnel route
  ike gateway ike_spoke
  ike ipsec-policy ipsec_pol
  enable
exit

ip route 0.0.0.0/0 ###.###.###.###

Garri
Сообщения: 416
Зарегистрирован: 17 апр 2014 13:30
Reputation: 9

Re: DMVPN ESR-200 за NAT

Сообщение Garri » 09 ноя 2021 17:08

Для прохождения трафика через НАТ (спок находиться за НАТ), в данном случае необходимо, чтобы спок упаковывал трафик в udp. Но скорее всего ESR пока не поддерживает этого и поэтому не получиться поставить туннель со споком который за НАТ.
Ещё непонятно почему пытаетесь использовать local interface на самом споке если сам спок за НАТ и не имеет отношения к динамическому внешнему ip?

oralie
Сообщения: 2
Зарегистрирован: 26 дек 2022 14:40
Reputation: 0

Re: DMVPN ESR-200 за NAT

Сообщение oralie » 26 дек 2022 14:41

Garri писал(а):Для прохождения slime rancher 2 трафика через НАТ (спок находиться за НАТ), в данном случае необходимо, чтобы спок упаковывал трафик в udp. Но скорее всего ESR пока не поддерживает этого и поэтому не получиться поставить туннель со споком который за НАТ.
Ещё непонятно почему пытаетесь использовать local interface на самом споке если сам спок за НАТ и не имеет отношения к динамическому внешнему ip?

ChanelLeuschke
Сообщения: 5
Зарегистрирован: 16 дек 2022 09:25
Reputation: 0

Re: DMVPN ESR-200 за NAT

Сообщение ChanelLeuschke » 10 янв 2023 16:42

In this scenario, spock must pack traffic in udp in order for it to pass through NAT (spock is situated behind NAT). However, it is likely that ESR does not yet enable this, therefore creating a tunnel with Spock that is behind NAT will not be possible. monkey mart

herrylauu
Сообщения: 1
Зарегистрирован: 17 мар 2023 15:52
Reputation: 0

Re: DMVPN ESR-200 за NAT

Сообщение herrylauu » 17 мар 2023 15:53

I respectfully object to the author's viewpoint. Although I can appreciate their viewpoint stumble guys, I believe the essay should have also covered other important issues.


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: Bing [Bot] и 23 гостя