Di cui sento parlare continuamente .. nn è forse quello che già faccio io per avere un ID alto con emule ? : ip nat inside source static....etc
E che cosa c'entra con la VPN , piu' precisamente con IKE..
e' che son curioso ...
nat traversal
Moderatore: Federico.Lagni
-
aries58net
- Cisco power user
- Messaggi: 88
- Iscritto il: lun 14 mar , 2005 9:01 pm
Qualcuno mi puo' spiegare in cosa diavolo consiste questo NAT traversal ???
Di cui sento parlare continuamente .. nn è forse quello che già faccio io per avere un ID alto con emule ? : ip nat inside source static....etc
E che cosa c'entra con la VPN , piu' precisamente con IKE..
e' che son curioso ...
Di cui sento parlare continuamente .. nn è forse quello che già faccio io per avere un ID alto con emule ? : ip nat inside source static....etc
E che cosa c'entra con la VPN , piu' precisamente con IKE..
e' che son curioso ...
-
mondin.luca
- Cisco power user
- Messaggi: 78
- Iscritto il: mar 20 mar , 2007 11:01 am
Il nat traversal permette di creare una vpn attraverso una configurazione con nat. incapsula cioè i pacchetti TCP e permette di farli passare attraverso il nat, cosa non possibile se non si abilita l'opzione isakmp nat traversal 
ciao!
ciao!
-
aries58net
- Cisco power user
- Messaggi: 88
- Iscritto il: lun 14 mar , 2005 9:01 pm
Questo è uno stralcio di codice dell'ASA 5505 che stabilisce le VPN con 3 siti remoti.
Siccome uno dei 3 siti è "critico" perchè fa parte dello stesso dominio windows 2000, ho pensato di creare una VPN ridondata tramite HSRP e il DPD ( dead peer detection). Ora , per fare funzionare HSRP hai bisogno di assegnare indirizzi privati che poi vengono nattati sull'indirizzo pubblico che serve per il peer della VPN..
Domanda da 100 milioni...è per questo che i sistemisti dela ditta fornitrice mi hanno parlato di implementazione del NAT traversal? : per via che, con l'HSRP devo per forza nattare staticamente l'indirizzo privato dei 2 router (active e standby) nell'indirizzo pubblico che mi servirà per stabilire le IKE peer ???
TIA
p.s
chi mi risponde è bravo : nn ho capito neanche io quello che ho scritto!!!
beh , insomma non proprio tutto !
Siccome uno dei 3 siti è "critico" perchè fa parte dello stesso dominio windows 2000, ho pensato di creare una VPN ridondata tramite HSRP e il DPD ( dead peer detection). Ora , per fare funzionare HSRP hai bisogno di assegnare indirizzi privati che poi vengono nattati sull'indirizzo pubblico che serve per il peer della VPN..
Domanda da 100 milioni...è per questo che i sistemisti dela ditta fornitrice mi hanno parlato di implementazione del NAT traversal? : per via che, con l'HSRP devo per forza nattare staticamente l'indirizzo privato dei 2 router (active e standby) nell'indirizzo pubblico che mi servirà per stabilire le IKE peer ???
Codice: Seleziona tutto
crypto map outside_map interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto isakmp nat-traversal 60 <<<<<<<<<<<<<<<<<<<<<<<<<<<
tunnel-group xxxxxxxxxxxxx ipsec-attributes
isakmp keepalive threshold 10 retry 2
tunnel-group xxxxx type ipsec-ra
tunnel-group xxxx general-attributes
address-pool xxxxx
authentication-server-group InternalRadius
default-group-policy xxxxxxxx
tunnel-group Lugo ipsec-attributes
pre-shared-key xxxxxxxxxx
isakmp keepalive threshold 10 retry 2
tunnel-group x.y.z.w type ipsec-l2l
tunnel-group x.y.z.w ipsec-attributes
pre-shared-key xxxxxxxxxxxxxxxxxxx
tunnel-group x.y.z.w type ipsec-l2l
tunnel-group x.y.z.w ipsec-attributes
pre-shared-key xxxxxxxxxxxxxxxx
tunnel-group x.y.z.w type ipsec-l2l
tunnel-group x.y.z.w ipsec-attributes
pre-shared-key xxxxxxxxxxxxxx
telnet timeout 5
ssh x.s.a.q. x.x.x.0 inside
ssh timeout 20
console timeout 0
dhcpd auto_config outside
!
!
!
p.s
chi mi risponde è bravo : nn ho capito neanche io quello che ho scritto!!!
beh , insomma non proprio tutto !
-
aries58net
- Cisco power user
- Messaggi: 88
- Iscritto il: lun 14 mar , 2005 9:01 pm
Che c'è .... anybody out there ? Ho scritto qualcosa di troppo complicato, oppure ho scritto una C...ta immonda ! ? 
-
aries58net
- Cisco power user
- Messaggi: 88
- Iscritto il: lun 14 mar , 2005 9:01 pm
vorrei, a questo punto, capire che cosa è ....semplicemente...
-
zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
http://en.wikipedia.org/wiki/NAT_traversal
Da quello che ho capito io in soldoni.... se tu fai una VPN che termina sull'interfaccia interna di un Firewall,il router dalla cui interfaccia interna è partita la VPN non sa a chi deve ributtare i pacchetti che gli ritornano dal Firewall attraverso l'interfaccia esterna.
Sempre se non mi sono fatto troppe canne in gioventù,questo sucede perche il traffico VPN "inscatola" il frame IP (dove c'è scritto IP origine/IP destinazione)...OK magari so cavolate oppure lo sapevate già tutti....ma allora che fa il NAT-T??Molto semplice : dice al router da quale IP sulla sua interfaccia(quella del router)è partita la VPN!!!
meno ma molto meno dei soldoni
http://tools.ietf.org/html/rfc3947#page-9
Le RFC sono preziosissime per togliersi certi dubbi,solitamente,scritte in inglese semplice e..... inoppugnabili....
io una curiosità però ce l'avrei : con crypto isakmp nat-traversal... il nat traversal viene abilitato globalmente per tutti o si può in qualche modo circoscriverlo a gruppi ?..
Da quello che ho capito io in soldoni.... se tu fai una VPN che termina sull'interfaccia interna di un Firewall,il router dalla cui interfaccia interna è partita la VPN non sa a chi deve ributtare i pacchetti che gli ritornano dal Firewall attraverso l'interfaccia esterna.
Sempre se non mi sono fatto troppe canne in gioventù,questo sucede perche il traffico VPN "inscatola" il frame IP (dove c'è scritto IP origine/IP destinazione)...OK magari so cavolate oppure lo sapevate già tutti....ma allora che fa il NAT-T??Molto semplice : dice al router da quale IP sulla sua interfaccia(quella del router)è partita la VPN!!!
meno ma molto meno dei soldoni
http://tools.ietf.org/html/rfc3947#page-9
Le RFC sono preziosissime per togliersi certi dubbi,solitamente,scritte in inglese semplice e..... inoppugnabili....
io una curiosità però ce l'avrei : con crypto isakmp nat-traversal... il nat traversal viene abilitato globalmente per tutti o si può in qualche modo circoscriverlo a gruppi ?..
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
E' un parametro di isakmp e quindi direi su tuttiio una curiosità però ce l'avrei : con crypto isakmp nat-traversal... il nat traversal viene abilitato globalmente per tutti o si può in qualche modo circoscriverlo a gruppi ?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
aries58net
- Cisco power user
- Messaggi: 88
- Iscritto il: lun 14 mar , 2005 9:01 pm
nn mi è chiarissimo....forso io mi sono fatto troppe canne in gioventu' !!!!!
in ogni caso si parla di NAT-T solo in concomitanza delle VPN....
Ammetto di essere confuso
qualcuno puo essere piu' chiaro
acche.....zzo serve sto benedetto NAT-T!!!!!!
in ogni caso si parla di NAT-T solo in concomitanza delle VPN....
Ammetto di essere confuso
qualcuno puo essere piu' chiaro
acche.....zzo serve sto benedetto NAT-T!!!!!!
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Molto semplicemente serve per fare comunicare 2 reti in vpn entrambe dietro ad un nat.
lan 1 - router (nat) --- internet (vpn) --- router (nat) - lan 2
lan 1 - router (nat) --- internet (vpn) --- router (nat) - lan 2
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
aries58net
- Cisco power user
- Messaggi: 88
- Iscritto il: lun 14 mar , 2005 9:01 pm
ok.. forse me la fecevo troppo complicata io!!!
Thanks
Thanks
