Outbound NAT правила не срабатывают на IPSec интерфейсе



  • Почему Outbound NAT правила не срабатывают на IPSec интерфейсе?




  • Здрасте.
    Потому что гладиолус. Тон похож на претензию.



  • В свое время тоже пытался заНАТить в IPsec несколько подсетей. Погуглил (может быть - неудачно) но не нашел иного решения, кроме как для каждой подсети создавать свою phase 2, но это ТС не устраивает, т.к.

    Офис "B" принимает пакеты только если они отправлены из нашей подсети LAN (10.1.1.0/24).

    Да, в Outbound NAT IPSec виден как интерфейс, но его не видно в Intrfaces - Assign, как и не видны в Routes маршруты Ipsec.
    Пусть меня поправят, но, например, для Open VPN тоже нельзя создать работающее правило Outbound NAT пока Open VPN не объявишь интерфейсом.



  • @pigbrother:

    В свое время тоже пытался заНАТить в IPsec несколько подсетей. Погуглил (может быть - неудачно) но не нашел иного решения, кроме как для каждой подсети создавать свою phase 2, но это ТС не устраивает, т.к.

    Офис "B" принимает пакеты только если они отправлены из нашей подсети LAN (10.1.1.0/24).

    Да, в Outbound NAT IPSec виден как интерфейс, но его не видно в Intrfaces - Assign, как и не видны в Routes маршруты Ipsec.
    Пусть меня поправят, но, например, для Open VPN тоже нельзя создать работающее правило Outbound NAT пока Open VPN не объявишь интерфейсом.

    Вот у меня та же самая проблема. Нужно заНАТить в IPSec несколько подсетей. В NAT - Outbound в выборе интерфейсов присутствует IPSec, но если его выбрать, роутер будет игнорировать это правило. В States или Packet Capture видно что адреса соединений никак не меняются. А если поменять интерфейс IPSec на WAN тогда адреса меняются, НАТ отрабатывает корректно. С чем это может быть связано? Это недоделка, баг или что?

    Может ли это быть связано с тем, что я пытаюсь занатить трафик пришедший с IPSec интерфейса обратно в IPSec?

    Или же НАТ можно использовать только на физических интерфейсах, тогда зачем IPSec есть в списке выбора?



  • Доброе.
    С OpenVPN подобное получалось. Даже без создания явного интрф. OpenVPN.
    Т.е. можно настроить каким лок. ip в др сети светить - своим (NoNAT) или пф-а (openvpn).

    P.s. А может для ipsec нужно создать доп. phase 2 , где в src будет ваша локальн. сеть ? А уж после настроить еще и правило NAT.



  • @werter:

    Доброе.
    С OpenVPN подобное получалось. Даже без создания явного интрф. OpenVPN.
    Т.е. можно настроить каким лок. ip в др сети светить - своим (NoNAT) или пф-а (openvpn).

    P.s. А может для ipsec нужно создать доп. phase 2 , где в src будет ваша локальн. сеть ? А уж после настроить еще и правило NAT.

    Заинтересован в ответе, трюк с 2-мя фазами мне лично в свое время не помог.