软路由论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
查看: 592|回复: 4

[vpn] 关于ROS WINXP L2TP/IPSEC的问题

[复制链接]
发表于 2013-9-16 23:02:42 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
测试环境如下
QQ截图20130916225321.png

L2TP/IPSEC服务器架设在路由器R-ROS上,由本地电脑Client来拨号
当整个环境采用路由模式时,Client可以正常拨号成功
当在路由器L-ROS上开启NAT伪装后,IPSEC链接无法建立,服务器LOG提示第一阶段总是无法建立
routeros
发表于 2013-9-17 07:27:56 | 显示全部楼层
ipsec有nat穿透的问题。
routeros
发表于 2013-9-17 09:38:38 | 显示全部楼层
L-ROS,做成只对外网接口NAT就好了。再写一下路由表,应该就可以解决了。
routeros
 楼主| 发表于 2013-9-17 10:21:38 | 显示全部楼层
心想事成 发表于 2013-9-17 07:27
ipsec有nat穿透的问题。

我在mikrotik论坛上看到说AC不可以在nat之后,client可以位于nat之后
在MUM13年Croatia站 中有一篇Building scalable IPSec infrastructure with MikroTik的讲演
但是要保证
IPSec requires the following rules in firewall to
be unblocked on input:
  UDP 500 – IKE
  UDP 4500 – NAT Traversal
  L4 Proto 50 – IPSec ESP
L2TP needs to also be accessible, but only to
IPSec enabled peers.
我也尝试过端口映射 两个端口都没有数据
routeros
 楼主| 发表于 2013-9-17 10:26:14 | 显示全部楼层
qq593455313 发表于 2013-9-17 09:38
L-ROS,做成只对外网接口NAT就好了。再写一下路由表,应该就可以解决了。

这样做当然可以,实际还是走的路由,内网的路由是可达的。
在ipsec的建立过程中,dst还是显示的是client的ip地址
实际生产环境中使用的是公网,ipsec一阶段中dst地址是指向client路由器的公网地址,我尝试过映射500端口,但是没有数据。
routeros
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由论坛  

GMT+8, 2014-12-20 17:39 , Processed in 0.034836 second(s), 11 queries , Gzip On, Memcache On.

Powered by Discuz! X3.2 Licensed

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表