VPN site-to-site + problem z natowaniem/portami

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
turbokrecik
member
member
Posty: 39
Rejestracja: 31 lip 2017, 15:35

VPN site-to-site + problem z natowaniem/portami

#1

#1 Post autor: turbokrecik »

Witam,

chciałem zasymulować prawdziwy vpn w GNS
Zbudowałem wcześniej topologię łącząc routery bezpośrednio - wszystko działało, ruch biegł przez tunel. Podniosłem poprzeczkę i zbudowałem taką topologię:

https://ibb.co/dztCra

Chmurki to nic innego jak moje dwa niezależne źródła internetu.
Posiadam tanie routery LTE t-mobile Huawei E5577s

Po podłączeniu do prawdziwego internetu i podaniu w konfiguracji vpn zewnętrzych ip oczywiście nie działa.
Pytanie z mojej strony gdzie szukać problemu?

Rozumiem że router R1 przy próbie ustanowienia połączenia vpn ma już określony port na którym to połączenie jest ustanawiane
Gdy routery były połączone bezpośrednio, w konfiguracji podawałem adresy interfejsów docelowych. Teraz to mój router domowy musi odebrać i przekazać ruch vpn z adresu zewnętrznego pod którym jest widoczny do routera cisco w gns - to jego interfejs musi być widoczny w internecie. Tak więc jak prawidłowo "powiedzieć" aby ten ruch był przekazywany na konkretny adres w lokalnej sieci do konkretnego portu?
Oczywiście sytuacja powtarza się w drugą stronę.

Tak więc:
Pierwsze co przyszło na myśl to przekierowanie portów (500 i 4500?) + jakieś inne ustawienia routera? APN?
Czy może usługodawca mógł zablokować mi odgórnie możliwość łączenia się vpnem?
Może mój router domowy musi mieć możliwość przepuszczenia takiego ruchu i może po prostu nie ma on takiej funkcjonalności.

Kombinuję z powyższymi zagadnieniami jak mogę ale połączenie ciągle nie działa.

Bardzo dziękuję za wszelkie wskazówki.

s2nt0
wannabe
wannabe
Posty: 129
Rejestracja: 10 mar 2011, 23:58
Lokalizacja: London

Re: VPN site-to-site + problem z natowaniem/portami

#2

#2 Post autor: s2nt0 »

Witam,

A zestawia sie chociaz faza 1?

a co mowi debug ?

debug crypto isakmp 200
debug crypto ipsec 200

https://supportforums.cisco.com/blog/15 ... nd-logging
why we doing this ? because LAB told us to..

seba766
wannabe
wannabe
Posty: 115
Rejestracja: 19 lut 2016, 12:26

Re: VPN site-to-site + problem z natowaniem/portami

#3

#3 Post autor: seba766 »

Sprawdź czy na tych routerach nie masz jakiś rulek blokujących IPSeca. Co prawda nie mam modemu do LTE ale w moim pudle od UPC mam coś takiego do zaznaczenia jak blokada ruchu IPSec.

ODPOWIEDZ