キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
1494
閲覧回数
5
いいね!
4
返信

ISR4000シリーズルータ IP1回線におけるStatic-NATとIPsec-VPNの両立

H.Masuda
Beginner
Beginner

ISR4000シリーズルータとIP1の回線を使用してStatic-NATによる外部から内部端末へのアクセスと

IPsec-VPNによる拠点間通信が可能な環境を検証しております。

 

内部端末への通信で使用されるポートが固定ではなく動的であり、ポート範囲が広いため

(TCP:60000-65000, UDP:60000-65000)、ポートフォワーディング設定では設定しきれないため

1対1のStatic-NATとACLで制限を掛けて運用しようかと考えております。

 

しかしながら1対1のStatic-NATを適用した場合、WANインタフェースに入力されるIPsec-VPNの

パケット(ISAKMP, ESP)も復号化される前にNAT変換されてしまうため、IPsec-VPN通信が

出来なくなってしまいます。

 

IPsec-VPNのパケットを1対1のStatic-NATの変換対象から除外して

通信できる様にする手段はないでしょうか。

 

以上、よろしくお願いいたします。

4件の返信4

shimenoy
Beginner
Beginner
H.Masuda さん、こんにちは :)

route-map を用いて NAT 除外するのが手段のひとつかと思います。
以下が参考になりそうです。

https://www.cisco.com/c/ja_jp/support/docs/security-vpn/ipsec-negotiation-ike-protocols/14144-static.html

仔細は把握しておりませんので、大いに誤っている(特にNAT周り)可能性がありますが、
恐らくはこんな感じでしょうか。

---
access-list 1 permit (内部IP)
ip nat inside source list 1 interface (ISRのWAN I/F) overload

ip nat inside source static (内部端末IP) (ISRのWAN I/F IP) route-map nonat

access-list 100 deny esp any host (内部端末IP) <- NATから除外
access-list 100 deny udp any host (内部端末IP) eq isakmp <- NATから除外
access-list 100 deny udp any host (内部端末IP) eq non500-isakmp <- NATから除外
access-list 100 permit tcp any host (内部端末IP) range 60000 65000 <- NATする
access-list 100 permit udp any host (内部端末IP) range 60000 65000 <- NATする

route-map nonat permit 10
match ip address 100
---

現状の設定や要件に合わせて、読み替えて頂ければと思います。

Shimenoy 様

 

ご返信頂きありがとうございます。

 

ネットワーク構成は以下を想定しております。

 

Network layout.png

 

ご連絡頂いた通り、route-mapを使用するのが良いかと考えておりますが、WAN側からLAN側への通信の場合にroute-mapで設定されたルールが反映されない点に苦慮しております。

 

そのため、上記の構成を実現するためには、R2ルータから発信されたIPsec-VPNの通信がStatic-NATで

変換されない様に除外する必要があります。

 

 

すみません、返答が遅くなりました。

もしまだ問題が解決されていないようでしたら、差支えのない範囲でR1の設定を拝見したいと考えております。
ISRではないのが恐縮ですが、手元にあったc892で試したところは概ね意図した通りにIPsec-VPN関連は除外が効きましたので・・・。

shimenoy

 

返信が遅くなりまして失礼いたしました。

ルータの設定情報を添付いたします。

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします: