关于ROS WINXP L2TP/IPSEC的问题
测试环境如下L2TP/IPSEC服务器架设在路由器R-ROS上,由本地电脑Client来拨号
当整个环境采用路由模式时,Client可以正常拨号成功
当在路由器L-ROS上开启NAT伪装后,IPSEC链接无法建立,服务器LOG提示第一阶段总是无法建立 ipsec有nat穿透的问题。 L-ROS,做成只对外网接口NAT就好了。再写一下路由表,应该就可以解决了。 心想事成 发表于 2013-9-17 07:27
ipsec有nat穿透的问题。
我在mikrotik论坛上看到说AC不可以在nat之后,client可以位于nat之后
在MUM13年Croatia站 中有一篇Building scalable IPSec infrastructure with MikroTik的讲演
但是要保证
IPSec requires the following rules in firewall to
be unblocked on input:
UDP 500 – IKE
UDP 4500 – NAT Traversal
L4 Proto 50 – IPSec ESP
L2TP needs to also be accessible, but only to
IPSec enabled peers.
我也尝试过端口映射 两个端口都没有数据 qq593455313 发表于 2013-9-17 09:38
L-ROS,做成只对外网接口NAT就好了。再写一下路由表,应该就可以解决了。
这样做当然可以,实际还是走的路由,内网的路由是可达的。
在ipsec的建立过程中,dst还是显示的是client的ip地址
实际生产环境中使用的是公网,ipsec一阶段中dst地址是指向client路由器的公网地址,我尝试过映射500端口,但是没有数据。
页:
[1]