URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1492
[ Назад ]

Исходное сообщение
"881, nat и тоннель"
Отправлено Hechicero , 07-Окт-14 15:24

Прошу помочь советом новичку.
есть циска 881, смотрящая в интернет.
на ней поднят тоннель до хоста.
пинг с неё (циски) в этот самый тоннель успешно ходит.
а вот из подсети если идет - то где-то теряется. в интернет идет, а в тоннель не заворачивает
Предполагаю, что Вам ответ очевиден. но вот у меня глаз замылился
Конфигурация:
version 15.2
!
interface Tunnel0
description --=VPN=--
ip address 10.0.0.11 255.255.255.252
tunnel source FastEthernet4
tunnel mode ipsec ipv4
tunnel destination 123.345.67.89
!
interface FastEthernet0
switchport access vlan 2
no ip address
!
interface FastEthernet4
description WAN
ip address 12.12.12.20 255.255.255.248
duplex auto
speed auto
ip nat outside
!
interface Vlan2
ip address 192.168.0.3 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
!
ip nat inside source list NAT interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 12.12.12.2
ip route 192.168.100.0 255.255.255.0 10.0.0.10
!
ip access-list extended NAT
permit ip 12.12.12.0 0.0.0.255 any
!
Со списками доступа возможно тоже погорячился, т.к. приходится учится и разбираться не как положено, по учебнику, а увы, аврально.
Прошу заранее быть милостивыми ко мне.

Содержание

881, nat и тоннель,crash, 06:48 , 08-Окт-14
881, nat и тоннель,vigogne, 11:05 , 09-Окт-14

Сообщения в этом обсуждении

"881, nat и тоннель"
Отправлено crash , 08-Окт-14 06:48

> ip access-list extended NAT
> permit ip 12.12.12.0 0.0.0.255 any
> !
не понятно для чего вам это?
А настройки покажите другой стороны? С вашей стороны на 12.12.12.20 сделан проброс белого ip?

"881, nat и тоннель"
Отправлено vigogne , 09-Окт-14 11:05

>[оверквотинг удален]
> ip nat inside source list NAT interface FastEthernet4 overload
> ip route 0.0.0.0 0.0.0.0 12.12.12.2
> ip route 192.168.100.0 255.255.255.0 10.0.0.10
> !
> ip access-list extended NAT
> permit ip 12.12.12.0 0.0.0.255 any
> !
> Со списками доступа возможно тоже погорячился, т.к. приходится учится и разбираться не
> как положено, по учебнику, а увы, аврально.
> Прошу заранее быть милостивыми ко мне.
Проверяйте по списку:
1. Маршрутизация на другой стороне туннеля.
2. Контроль доступа (разрешены ли подключения из других подсетей в файерволах, брендмауэрах)
3. Размер MTU и TCP MSS на концах туннеля
Теперь с NAT
в ACL NAT должны быть адреса источников, откуда трафик будет транслироваться в адрес внешнего интерфейса. т.е., в Вашем случае правило должно быть:
ip access-list extended NAT
permit ip 192.168.0.0 0.0.0.255 any
И, если нужен NAT пользователям из туннеля, добавьте их подсеть сюда же, и сам туннельный интерфейс пометьте как ip nat inside