NAT поверх IpSec

[Russel06 0]

Привет

Столкнулся с ситуацией что необходимо завернуть нат в туннель, чтобы народ ходил в инет через удаленный канал.

На данный момент у меня настроена тестовая схема:

 

Необходимо чтобы сеть 9.9.9.0/24 выходила в инет через SRX1.

пробовал указывать маршрут 0.0.0.0/0 через 8.8.8.1, не получилось =(.

[John_Doe 301]

Необходимо чтобы сеть 9.9.9.0/24 выходила в инет через SRX1.

пробовал указывать маршрут 0.0.0.0/0 через 8.8.8.1, не получилось =(.

Самый простой вариант на SRX2 прописать маршрут до SRX1 /32 через аплинк и дефолт не на 8.8.8.1 а на конец тоннеля на SRX1

[Russel06 0]

 

Необходимо чтобы сеть 9.9.9.0/24 выходила в инет через SRX1.

пробовал указывать маршрут 0.0.0.0/0 через 8.8.8.1, не получилось =(.

Самый простой вариант на SRX2 прописать маршрут до SRX1 /32 через аплинк и дефолт не на 8.8.8.1 а на конец тоннеля на SRX1

 

Не получаса, пробовал и на внешний ип, и на ир gre туннеля маршрут не активный.

[John_Doe 301]

Не получаса, пробовал и на внешний ип, и на ир gre туннеля маршрут не активный.

Шо то вы там не то пробуете. Сам туннель хоть работает,трафик ходит? Відредаговано 2014-04-07 12:43:31 John_Doe

[Russel06 0]

 

Не получаса, пробовал и на внешний ип, и на ир gre туннеля маршрут не активный.

Шо то вы там не то пробуете. Сам туннель хоть работает,трафик ходит?

 

srx2:

root# show routing-options static

route 192.168.1.0/24 next-hop st0.0;

route 192.168.2.0/24 next-hop st0.1;

route 95.xx.xx.xx/32 next-hop 62.xx.xx.xx; => маршрут до srx1

route 0.0.0.0/0 next-hop 192.168.1.1; => конец туннеля на srx1

 

 

 

[Russel06 0]

 

Не получаса, пробовал и на внешний ип, и на ир gre туннеля маршрут не активный.

Шо то вы там не то пробуете. Сам туннель хоть работает,трафик ходит?

 

С тунельом все ок, трафик идет

root# run show security ipsec security-associations

  Total active tunnels: 1

  ID    Algorithm       SPI      Life:sec/kb  Mon vsys Port  Gateway

  <131073 ESP:aes-128/sha1 abc0afa 81830/unlim -   root 500   95.хх.хх.хх

  >131073 ESP:aes-128/sha1 36af7bba 81830/unlim -  root 500   95.хх.хх.хх

root# run ping 8.8.8.1

PING 8.8.8.1 (8.8.8.1): 56 data bytes

64 bytes from 8.8.8.1: icmp_seq=0 ttl=64 time=3.426 ms

64 bytes from 8.8.8.1: icmp_seq=1 ttl=64 time=2.995 ms

64 bytes from 8.8.8.1: icmp_seq=2 ttl=64 time=2.858 ms

 

 

 

 

[Russel06 0]

Разобрался
оказалось все проще простого, может кому то пригодиться:

srx2:

route 0.0.0.0/0 next-hop st0.0;
srx1:

root# show security nat

source {

    pool net {

        address {

            95.xx.xx.xx/32;

        }

    }

      rule-set 9net {

        from interface st0.0;

        to interface ge-0/0/0.0;

        rule 2 {

            match {

                source-address [ 172.16.1.0/30 9.9.9.0/24 ];

                destination-address 0.0.0.0/0;

            }

            then {

                source-nat {

                    pool {

                        net;

                    }

                }

            }

        }

    }

}