IPSec: UDP/4500 Encapsulation bei IOS forcieren

[Wordo 11]

Servus,

 

hat jemand nen Plan ob man bei IOS sagen kann, dass bei der IPSec Verbindung NAT Encapsulation verwendet werden soll, egal ob genattet wird oder nicht?

 

Ich hab bei nem Kunden ein komisches Device vor dem Ciscorouter was anscheinende ESP blockt/ignoriert/wasweissich.

 

Wenn ich als Gegenstelle eine Linux nehm und da in der ipsec.conf "forceencaps=yes" eintrage funktionierts. Leider ist die Gegenstelle von dem Cisco kein Linux :)

 

Hab bis jetzt leider nix gefunden ...

 

 

Merci!

[Otaku19 33]

das müsste durch die nAT Detection erkannt werden ? Hab nur gefunden das man NAT-T ausschalten kann, nicht das mans explizit einschalten kann (weil es eh automatisch verwendet wrd):

 

IPSec NAT Transparency  [Cisco IOS Software Releases 12.2 T] - Cisco Systems

[Wordo 11]

Aber wenn du 2 oeffentliche IP's hast, dann erkennt er automatisch das es kein NAT ist, das ist ja mein Problem :)

[Servidge 10]

Das der Cisco gezwungen wird NAT-T zu machen ist mir noch nicht untergekommen.

Soll die Verbindung eigentlich zwischen zwei Cisco Routern aufgebaut werden?

Dürfen beide die Verbindung aufbauen oder soll der eine sich nur "einwählen"?

 

Bei ersterem einfach per ip sla Traffic auf beiden Seiten produzieren. Dann sollte ja das NAT-T erkannt werden.

 

Oder dem Besitzer des komischen Gerätes sagen er muß es ändern ;)

[Wordo 11]

Das Gegenstueck ist eine Astaro, das ist zwar ein Linux, da kann ich aber kein forceencaps aktivieren. Deswegen hab ich in Richtung IOS gesucht.

SLA? NAT-T? Check grad den Zusammenhang nicht ...

[Servidge 10]

Das hat zumindest bei uns mal funktioniert als so eine Speedportkrücke kein ESP durchgelassen hat.

 

Durch das ip sla wird nur dauerhaft von beiden Seiten aus interesting Traffic produziert.

Irgendwann meint dann der Router er befände sich hinter nem Nat und es hat funktioniert.

Das war aber auch nur eine Übergangslösung und nicht von Dauer.

[Otaku19 33]

Aber wenn du 2 oeffentliche IP's hast, dann erkennt er automatisch das es kein NAT ist, das ist ja mein Problem :)

 

das hat damit doch nix zu tun welche IP Adressen das sind, im IKE Prozedere wird das erkannt

[Franz2 10]

Hallo,

 

ich denke wenn du ESP Traffic sperrst sollte er in UDP Tunneln.

 

lg Franz

[Otaku19 33]

korrektur....SOLLTE erkannt werden wenn es bei dir nicht klappt :)

[Wordo 11]

Hallo,

 

ich denke wenn du ESP Traffic sperrst sollte er in UDP Tunneln.

 

lg Franz

 

Hat nicht geklappt.

 

Mein naechster Versuch waere jetzt die crpyto map ans interne IF zu binden und dadurch NAT zu erzwingen.

 

Das Geraet dazwischen arbeitet allerdings so strange, da will ich jetzt mal zu keinem Beitrag sagen "geht definitiv / geht definitiv nicht" ;)

[Servidge 10]

was ist das den für ein Gerät? Was für einen Zweck soll das denn erfüllen, außer Probleme zu machen?

[Otaku19 33]

das mit dem internen if wird wohl eher nicht funktionieren...dann müsste hier ja auch die peer IP drauf sein

[Wordo 11]

was ist das den für ein Gerät? Was für einen Zweck soll das denn erfüllen, außer Probleme zu machen?

 

Das ist ne Cisco, verbunden an nem Modem, was die Hochfrequenz vom Kabel (TV) Internet ueber ne Kupferader jagt, rueber zu nem Privatanschluss wo das Kabelmodem des Anbieters haengt.

 

Es soll Gegenden in DE geben da gibts nix anderes :D

[Wordo 11]

Also ... auf dem Gerät beim Kabel Anbieter war Port 135 - 138 geblockt, "irgendwie hat das wohl ESP geblockt" ... es geht jetzt alles :)

 

Merci!