OpenForum RSS: IPSEC тоннель не работает через NAT https://www.opennet.ru/openforum/vsluhforumID6/21279.html На асе 5510 внешник X.X.X.106. Пытаюсь сделать тоннель снатировав внутренний рутер в X.X.X.107. Команда ната: <br>static (inside,outside) x.x.x.107 192.168.1.10 netmask 255.255.255.255<br>Натирование проходят, пакеты уходят, но до другого рутера не доходят.<br><br>Теперь я ставлю отдельную асу 5505, завожу на ней X.X.X.107, натирование по udp портам - пакеты со 107-го уходят, доходят до другого рутера, тоннель работает. <br><br>Вся разница тока в том что в первом случае 106-ой и 107-ой адреса имеют одинаковый mac адрес. А во втором разные. Неужели из-за этого? <br><br>P.S. с другим провайдером кстати первая схема работает (только у провайдера берём на один внешний интерфейс две разные подсети.)<br> IPSEC тоннель не работает через NAT (oleg627_80) https://www.opennet.ru/openforum/vsluhforumID6/21279.html#2 Fri, 09 Jul 2010 07:00:57 GMT &gt;я ничего не понял (с) <br>&gt;итак вы статически натируете ип адрес внутреннего роутера на асе <br>&gt;туннель терминируется на внуреннем роутере я полагаю <br>&gt;ipsec не умеет работать через нат включите на роутере nat traverse <br><br>Правильно всё поняли. Туннель терминируется на внутреннем роутере. Теперь я не понял - что значит ipsec не умеет работать через NAT? Если я через отдельную асу (как написано выше), пустил тоннель также через NAT.<br><br>Вот стат. нат на асе, через которую тоннель не работает:<br>static (inside,outside) х.х.х.107 &lt;ip_local_router&gt; netmask 255.255.255.255<br>(внешний ip этой асы х.х.х.106)<br><br>Вот стат. нат на асе, через которую тоннель работает:<br>static (inside,outside) interface &lt;ip_local_router&gt; netmask 255.255.255.255<br>(внешний ip этой асы х.х.х.107)<br><br>Разница в том, что в первом случае натирование идёт в другой 107-ой ip (из той же внешней подсети), а во втором случае в ip, присвоенный на внешнем интерфейсе.<br> IPSEC тоннель не работает через NAT (sigbat) https://www.opennet.ru/openforum/vsluhforumID6/21279.html#1 Thu, 08 Jul 2010 09:15:49 GMT я ничего не понял (с)<br>итак вы статически натируете ип адрес внутреннего роутера на асе<br>туннель терминируется на внуреннем роутере я полагаю<br>ipsec не умеет работать через нат включите на роутере nat traverse<br>