关于ROS WINXP L2TP/IPSEC的问题

路飞的梦想

测试环境如下


L2TP/IPSEC服务器架设在路由器R-ROS上，由本地电脑Client来拨号
当整个环境采用路由模式时，Client可以正常拨号成功
当在路由器L-ROS上开启NAT伪装后，IPSEC链接无法建立，服务器LOG提示第一阶段总是无法建立

心想事成

ipsec有nat穿透的问题。

qq593455313

L-ROS，做成只对外网接口NAT就好了。再写一下路由表，应该就可以解决了。

路飞的梦想

心想事成 发表于 2013-9-17 07:27
ipsec有nat穿透的问题。

我在mikrotik论坛上看到说AC不可以在nat之后，client可以位于nat之后
在MUM13年Croatia站 中有一篇Building scalable IPSec infrastructure with MikroTik的讲演
但是要保证
IPSec requires the following rules in firewall to
be unblocked on input:
  UDP 500 – IKE
  UDP 4500 – NAT Traversal
  L4 Proto 50 – IPSec ESP
L2TP needs to also be accessible, but only to
IPSec enabled peers.
我也尝试过端口映射 两个端口都没有数据

路飞的梦想

qq593455313 发表于 2013-9-17 09:38
L-ROS，做成只对外网接口NAT就好了。再写一下路由表，应该就可以解决了。

这样做当然可以，实际还是走的路由，内网的路由是可达的。
在ipsec的建立过程中，dst还是显示的是client的ip地址
实际生产环境中使用的是公网，ipsec一阶段中dst地址是指向client路由器的公网地址，我尝试过映射500端口，但是没有数据。