DFL-200 <-> VPN(ipsec) <-> inet <-> nat <-> VPN(ipsec) <-> SonicWall Pro 230

Есть две железяки с поддержкой IPSec и NATT. Надо сделать IPSec тунель. Причём одна из железяк находится за NAT-ом, который мы не можем НИКАК контролировать (т.е. не можем настраивать).

http://www.dlink.ru/technical/faq_vpn_14.php
http://www.dlink.ru/technical/faq_vpn_16.php

_________________
С уважением -- Александр Шебаронин.

Мы этого не можем сделать т.к. мы не имеем доступа к NAT устройству.

http://www.ietf.org/html.charters/ipsec-charter.html - битая ссылка с

То что такое в принципе возможно, я понял. Но каким образом настроить железяки???

Если нет доступа к NAT устройству, то организовать туннель будет очень сложно. Туннель необходимо устанавливать со стороны устройства за NATом, плюс SonicWall Pro 230 должен поддерживать IPSec over UDP (как правило NAT не обрабатывает ESP протокол) и после истечения времени жизни туннеля от может не заработать. Попробуйте договориться с людьми у которых используется NAT на предмет проброса портов используемых IPSec.

У меня такая же проблема...
Есть:

Cisco VPN Client 4.0.1 -> DSL 500T (NAT) -> Internet > Cisco 3845 (VPN Server)

Когда я запускаю Connect на Cisco VPN Client вижу в логах следующее:

1 12:48:13.436 01/11/06 Sev=Info/4 CM/0x63100002
Begin connection process

2 12:48:13.506 01/11/06 Sev=Info/4 CVPND/0xE3400001
Microsoft IPSec Policy Agent service stopped successfully

3 12:48:13.506 01/11/06 Sev=Info/4 CM/0x63100004
Establish secure connection using Ethernet

4 12:48:13.516 01/11/06 Sev=Info/4 CM/0x63100024
Attempt connection with server "193.94.0.73"

5 12:48:14.518 01/11/06 Sev=Info/6 IKE/0x6300003B
Attempting to establish a connection with 193.94.0.73.

6 12:48:14.618 01/11/06 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK AG (SA, KE, NON, ID, VID(Xauth), VID(dpd), VID(Nat-T), VID(Frag), VID(Unity)) to 193.94.0.73

7 12:48:14.618 01/11/06 Sev=Info/4 IPSEC/0x63700008
IPSec driver successfully started

8 12:48:14.618 01/11/06 Sev=Info/4 IPSEC/0x63700014
Deleted all keys

9 12:48:14.758 01/11/06 Sev=Info/5 IKE/0x6300002F
Received ISAKMP packet: peer = 193.94.0.73

10 12:48:14.758 01/11/06 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK AG (SA, VID(Unity), VID(dpd), VID(?), VID(Xauth), VID(Nat-T), KE, ID, NON, HASH, NAT-D, NAT-D) from 193.94.0.73

11 12:48:14.758 01/11/06 Sev=Info/5 IKE/0x63000001
Peer is a Cisco-Unity compliant peer

12 12:48:14.758 01/11/06 Sev=Info/5 IKE/0x63000001
Peer supports DPD

13 12:48:14.758 01/11/06 Sev=Info/5 IKE/0x63000001
Peer supports DWR Code and DWR Text

14 12:48:14.758 01/11/06 Sev=Info/5 IKE/0x63000001
Peer supports XAUTH

15 12:48:14.758 01/11/06 Sev=Info/5 IKE/0x63000001
Peer supports NAT-T

16 12:48:14.808 01/11/06 Sev=Info/6 IKE/0x63000001
IOS Vendor ID Contruction successful

17 12:48:14.808 01/11/06 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK AG *(HASH, NOTIFY:STATUS_INITIAL_CONTACT, NAT-D, NAT-D, VID(?), VID(Unity)) to 193.94.0.73

18 12:48:14.808 01/11/06 Sev=Info/6 IKE/0x63000054
Sent a keepalive on the IPSec SA

19 12:48:14.808 01/11/06 Sev=Info/4 IKE/0x63000082
IKE Port in use - Local Port = 0x1194, Remote Port = 0x1194

20 12:48:14.808 01/11/06 Sev=Info/5 IKE/0x63000071
Automatic NAT Detection Status:
Remote end is NOT behind a NAT device
This end IS behind a NAT device

21 12:48:19.475 01/11/06 Sev=Info/4 CM/0x63100006
Abort connection attempt before Phase 1 SA up

22 12:48:19.475 01/11/06 Sev=Info/4 IKE/0x63000001
IKE received signal to terminate VPN connection

23 12:48:19.475 01/11/06 Sev=Info/4 IKE/0x63000017
Marking IKE SA for deletion (I_Cookie=695354D36260F48E R_Cookie=01E273A3EDA9472F) reason = DEL_REASON_RESET_SADB

24 12:48:19.475 01/11/06 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK INFO *(HASH, DWR) to 193.94.0.73


что делать ????
VPN канал не поднимается из -за NAT

Заметьте, что проблемы пока ещё не возникло, оба устройства правильно определили своё положение по отношению к NAT:
20 12:48:14.808 01/11/06 Sev=Info/5 IKE/0x63000071
Automatic NAT Detection Status:
Remote end is NOT behind a NAT device
This end IS behind a NAT device

И сами отказались от продолжения "банкета". Так что пока это вопрос, скорее, к Cisco. Возможно, к их конфигурации.

В общем, проблемы нестыковок VPN и NAT в первую очередь такие:
если NAT не пропускает (или делает это неправильно) протоколы GRE (PPTP), ESP, AH (IPSec)
если IKE отвечает на приходящий пакет строго на 500 порт, а не на тот, который вышел из-за NAT'a
если на маршруте есть "сужение" MTU (у меня из дома по OpenVPN не работал RDP, пока не снизил MTU внутри тунеля до 1350, выяснив предварительно, что "внутри" VPN домового провайдера MTU режется до 1400)

У меня были IPSec (IKE, ESP) тунели по схеме:
DI-804(1) -> NAT -> i-net -> DI-804(2)
NAT (там был Tomson SpeedTouch500) не настраивал, он "провайдерский". Понятное дело, что VPN "поднимался" только со стороны 1. Но работал и падал не больше других.

2v932: как всегда все верно. Я наверное не буду уже подтвеждать ваши слова, а то вы возгордитесь от постоянных комплиментов Вот если что не так -- тут поправлю.

_________________
С уважением -- Александр Шебаронин.