目前两边的防火墙都做了IPSEC VPN,防火墙NAT的策略是客户端所处网段和服务器所处网段之间的通信不做转换(因为IPSEC VPN的缘故),也就是172.16.0.0/16 to 172.30.20.0/24和 172.30.20.0/24 to 172.16.0.0/16 用的是no-nat.。一般情况下FTP客户端可以正常登录右边的服务器。
但是现在我在FW2上做了个NAT SERVER后,FTP客户端通过NAT SERVER 提供的地址访问服务器时就无法登录右边的服务器了。而且抓包也抓不到任何客户端访问服务器的流量,想请教一下这种情况该怎么解决?我目前的目的是让FTP客户端可以通过NAT-SERVER提供的网址登陆服务器,而且他们之前的通信可以受IPSEC隧道的保护。
顺便一提,在做了NAT-SERVER后,我在两边的nat-policy中添加了对应的策略(172.16.0.0/16 to 50.1.1.100/32 no-nat, 50.1.1.100/32 to 172.16.0.0/16 no-nat),原有的IPSEC使用的acl也添加了类似的rule。
分享
在同时使用IPSec和NAT Server的情况下,客户端访问服务器可能会出现问题。因为NAT Server会修改IP数据包中的源IP和目标IP地址,而IPSec协议则要求IP数据包在传输过程中不被修改。
为了解决这个问题,可以采取以下几种方法:
1、在NAT Server和IPSec设备之间建立IPSec VPN通道:在这种情况下,所有的IP数据包都会被加密,并且在通过NAT Server时不会被修改,这可以保证IPSec协议的正常运行。同时,也可以在VPN通道上配置NAT,以便在客户端和服务器之间转换IP地址。
2、在NAT Server上配置IPSec穿透:在这种情况下,NAT Server会被配置为允许通过IPSec VPN通道传输的IP数据包。这样,在通过NAT Server时,IP数据包不会被修改,并且可以通过IPSec协议的安全性验证。
3、在客户端和服务器上分别使用公网IP地址:在这种情况下,客户端和服务器使用公网IP地址,而不是在私有网络中使用NAT Server。这可以避免IP数据包被修改,并且可以直接使用IPSec协议进行通信。
总之,在使用IPSec和NAT Server的同时,需要考虑这两种协议的相互作用,并采取相应的措施来确保通信的正常运行和安全性。
如果解决了你的问题,望采纳!
分享
系统已结题
4月10日
已采纳回答
4月2日
创建了问题
4月1日
