AR2200走IPsec访问和NAT outbound上网不能同时进行

发布时间:  2014-12-07 浏览次数:  200 下载次数:  0
问题描述
ar2240---ipsec--ar2200,客户的ike和ipsec阶段协商成功。感兴趣流acl也写了。当客户加了nat以后,可以pc上公网了,但是ipsec
就不通;去掉nat,ipsec通了,就不能上公网了。
告警信息
处理过程
判断应该是客户起了nat以后,走ipsec的私网报文直接就被nat掉了,而不是走的ipsec的私网隧道。
查询了AR的手册文档,如下描述:
如果应用安全策略的接口同时配置了NAT,由于设备先执行NAT,会导致IPSec不生效,有以下两种解决
方法:
1. NAT引用的ACL规则deny目的IP地址是IPSec引用的ACL规则中的目的IP地址,避免对
IPSec保护的数据流进行NAT转换。
2. IPSec引用的ACL规则需要匹配经过NAT转换后的IP地址。

建议客户在nat outbound里面第一条acl写deny到对端私网的rule,不让这些需要走ipsec隧道的私网访问报文走公网的nat。
根因
客户起了nat以后,走ipsec的私网报文直接就被nat掉了,而不是走的ipsec的私网隧道。
解决方案
在nat outbound里面第一条acl写deny到对端私网的rule,不让这些需要走ipsec隧道的私网访问报文走公网的nat。
建议与总结
在做ipsec的时候,如果ike和ipsec协商阶段已经成功,但是私网访问还是不通的情况下,先检查nat outbound的acl下是不是写的允许到所有目的网段的访问,而没有在第一条rule写上deny需要走ipsec私网隧道,从而导致ipsec报文通过公网nat出去了。其次就是检查ipsec的感兴趣流有没有写,或者有没有写对造成匹配私网的vpn报文不成功。

END