目前两边的防火墙都做了IPSEC VPN,防火墙NAT的策略是客户端所处网段和服务器所处网段之间的通信不做转换(因为IPSEC VPN的缘故),也就是172.16.0.0/16 to 172.30.20.0/24和 172.30.20.0/24 to 172.16.0.0/16 用的是no-nat.。一般情况下FTP客户端可以正常登录右边的服务器。
但是现在我在FW2上做了个NAT SERVER后,FTP客户端通过NAT SERVER 提供的地址访问服务器时就无法登录右边的服务器了。而且抓包也抓不到任何客户端访问服务器的流量,想请教一下这种情况该怎么解决?我目前的目的是让FTP客户端可以通过NAT-SERVER提供的网址登陆服务器,而且他们之前的通信可以受IPSEC隧道的保护。
顺便一提,在做了NAT-SERVER后,我在两边的nat-policy中添加了对应的策略(172.16.0.0/16 to 50.1.1.100/32 no-nat, 50.1.1.100/32 to 172.16.0.0/16 no-nat),原有的IPSEC使用的acl也添加了类似的rule。
5条回答 默认 最新
- Net_Not 2023-04-01 11:54关注
在同时使用IPSec和NAT Server的情况下,客户端访问服务器可能会出现问题。因为NAT Server会修改IP数据包中的源IP和目标IP地址,而IPSec协议则要求IP数据包在传输过程中不被修改。
为了解决这个问题,可以采取以下几种方法:
1、在NAT Server和IPSec设备之间建立IPSec VPN通道:在这种情况下,所有的IP数据包都会被加密,并且在通过NAT Server时不会被修改,这可以保证IPSec协议的正常运行。同时,也可以在VPN通道上配置NAT,以便在客户端和服务器之间转换IP地址。
2、在NAT Server上配置IPSec穿透:在这种情况下,NAT Server会被配置为允许通过IPSec VPN通道传输的IP数据包。这样,在通过NAT Server时,IP数据包不会被修改,并且可以通过IPSec协议的安全性验证。
3、在客户端和服务器上分别使用公网IP地址:在这种情况下,客户端和服务器使用公网IP地址,而不是在私有网络中使用NAT Server。这可以避免IP数据包被修改,并且可以直接使用IPSec协议进行通信。
总之,在使用IPSec和NAT Server的同时,需要考虑这两种协议的相互作用,并采取相应的措施来确保通信的正常运行和安全性。
如果解决了你的问题,望采纳!本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 1无用
悬赏问题
- ¥15 MATLAB解决问题
- ¥20 哪位专业人士知道这是什么原件吗?哪里可以买到?
- ¥15 关于#c##的问题:treenode反序列化后获取不到上一节点和下一节点,Fullpath和Handle报错
- ¥15 一部手机能否同时用不同的app进入不同的直播间?
- ¥15 没输出运行不了什么问题
- ¥20 输入import torch显示Intel MKL FATAL ERROR,系统驱动1%,: Cannot load mkl_intel_thread.dll.
- ¥15 点云密度大则包围盒小
- ¥15 nginx使用nfs进行服务器的数据共享
- ¥15 C#i编程中so-ir-192编码的字符集转码UTF8问题
- ¥15 51嵌入式入门按键小项目