Здравствуйте, я устанавливаю для клиентов USG Unifi Gateway, и теперь мне нужно соединить несколько офисов некоторых компаний с помощью решения USG Site-to-Site VPN. Всё работает отлично, если USG подключён напрямую к интернету (через модем и WAN IP-адрес). Но у некоторых клиентов и офисов USG стоит за роутером (двойной NAT). Проблема в том, что не могу это настроить, и в syslog появляется следующая ошибка: Можете, пожалуйста, помочь решить эту проблему? Спасибо, с уважением, Крис
Psalms101Man
Guest
15.04.2020 19:08:00
При настройке с двойным NAT/DMZ соединение с другим устройством никогда не получится из-за того, что у USG локальный IP-адрес. Чтобы подключение работало корректно, USG должен получать внешний IP-адрес. Между двумя конечными точками происходит IPSEC-рукопожатие безопасности, которое использует IP-адрес в качестве части процесса проверки:
Как работает IPSec IPSec включает множество технологий и методов шифрования, но его работа сводится к пяти основным этапам: – «Интересный трафик» запускает процесс IPSec. Трафик считается интересным, когда настроенная политика безопасности IPSec на пирах IPSec инициирует процесс IKE. – Фаза 1 IKE. IKE аутентифицирует пиры IPSec и вырабатывает IKE SA, создавая защищённый канал для переговоров IPSec SA на фазе 2. – Фаза 2 IKE. IKE согласует параметры IPSec SA и создаёт сопоставимые IPSec SA на пирах. – Передача данных. Данные передаются между пирами IPSec на основе параметров IPSec и ключей, сохранённых в базе данных SA. – Завершение туннеля IPSec. IPSec SA завершается удалением или по таймауту.
Проблема возникает на первом этапе, так как трафик никогда не признаётся интересным другим роутером. Я столкнулся с похожей ситуацией у клиента, у которого модем от провайдера не работает в режиме моста. Мы не можем подключить USG к Azure VPN ().
ezelder
Guest
05.02.2019 22:55:00
Вопрос по продолжению. Ранее я делал это с SonicWall, но интересно, можно ли с UBNT. У меня есть основное местоположение с edge-устройством, которое работает по IPSEC. Могу ли я создать IPSec-туннель к этому edge-устройству с помощью USG, если оно находится за двойным NAT? Запустится ли туннель и соединится ли он с edge-устройством, у которого статический публичный IP? Я даже рассмотрю вариант с edge-роутерами, если потребуется. Это для удалённых сотрудников, которые будут подключать ноутбук к проводному порту USG/ER. Я хочу, чтобы через USG/ER проходил только рабочий ноутбук, а не их личный домашний трафик. Просто потому, что не хочу, чтобы складывалось впечатление, будто я могу видеть их личный трафик.
brittonv
Guest
04.09.2018 03:26:00
Меня беспокоит, что спустя два года у меня такая же проблема, и до сих пор нет никакого решения!
allandelmare
Guest
27.05.2016 14:22:00
Разве не для этого предназначен NAT-T — чтобы передавать пакеты через граничный файрвол/нат? «NAT Traversal, также известный как UDP-инкапсуляция, позволяет трафику достичь нужного назначения, когда устройство не имеет публичного адреса. Обычно это происходит, если ваш провайдер использует NAT, или внешний интерфейс вашего файрвола подключён к устройству с включённым NAT. [...] На первом этапе, если используется NAT Traversal, один или оба пиринга сообщают друг другу, что применяют NAT Traversal, после чего переговоры IKE переходят на использование UDP-порта 4500. Далее данные передаются и обрабатываются как IPSec поверх UDP, что и есть по сути NAT Traversal. Принимающая сторона сначала снимает IPSec-пакет с UDP-обертки (часть NAT Traversal, которая произошла на стороне отправителя), а затем обрабатывает трафик как обычный IPSec-пакет. Для корректной работы VPN через NAT необходимо открыть три порта на устройстве, выполняющем NAT: UDP-порт 4500 (для NAT traversal), UDP-порт 500 (для IKE) и IP-протокол 50 (ESP).» (с
Я использую бета-версию контроллера 5.0.3 и пытаюсь настроить site-to-site (автоматически) между USG... Проблема в том, что узел за NAT показывает IP локальной сети (подключённый к WAN) как «публичный IP», а не реальный публичный адрес. Я пробовал настраивать динамический хост для этого USG, но это не помогло — он всё равно подставляет NAT-адрес с WAN-порта в качестве «публичного хоста»...
Собираюсь попробовать взять конфигурацию с GUI-настроенного site-to-site, и использовать её для настройки устройства через JSON, заменив 256-битный ключ на 128-битный пароль и вручную прописав публичный IP. Хотя больших надежд на это нет
whowe82
Guest
14.04.2016 03:05:00
Нужно использовать OpenVPN, когда сталкиваешься с двойным NAT.
Blamager
Guest
12.04.2016 12:50:00
Лучше всего, у меня такая же проблема, и, скорее всего, ты прав. Если на WAN-порту задана приватная адресация, то нельзя настроить IPSEC туннель на публичный адрес (потому что в конфигурации USG такие адреса неизвестны). Сейчас ищу решение. Возможно, есть вариант добавить что-то вроде проброса портов или правила D-NAT, чтобы добавить публичный адрес в конфигурацию (если что-то приходит на публичный адрес, USG переводит его на приватный на WAN-порту). Это немного противоречит логике, но может помочь выявить проблему. Было бы хорошо, если бы в USG появилась возможность настраивать вторичные IP-адреса на WAN-порту, чтобы избежать таких проблем. Некоторые провайдеры Интернета используют NAT для своих клиентов. С уважением, Томаш
Можете, пожалуйста, помочь решить эту проблему? Спасибо, с уважением, Крис