привет знатокам проясните пожалуста : нужно пробросить телефонию через VPN, а доступ в интернет через НАТ , соответственно делаю ACL110 и исключаю то что идет в VPN, но закавыка: Voicemail PC (192.168.10.2/29)должен иметь доступ в инет и общаться с VoipPBX (IPOFFICE500) , он в одной подсетке vlan20 (192.168.10.0/29) с VoipPBX , вопрос можно ли часть IP с подсетки vlan 20 через НАТ а часть через VPN кинуть, как я тут сделал? , будет ли ето работать? меня смушает то что я вынужден сделать ip nat inside na vlan 20 иначе PC не выйдет в инет ... как мне кажется рутер сперва посмотрит в ACL110 увидит VoicemailPC незя через НАТ и кинет через VPN -ето верно ? не не помешает ли этому команда ip nat inside нa interface vlan 20 ?
RA#sho run
Building configuration...
!
boot-start-marker
boot-end-marker
!
logging buffered 51200
!
no aaa new-model
memory-size iomem 10
clock timezone PCTime -5
clock summer-time PCTime date Apr 6 2003 2:00 Oct 26 2003 2:00
!
crypto pki trustpoint TP-self-signed-3088937797
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3088937797
revocation-check none
rsakeypair TP-self-signed-3088937797
!
ip source-route!
!
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool ccp-pool
import all
network 10.10.10.0 255.255.255.248
default-router 10.10.10.1
lease 0 2
!
!
ip cef
ip domain name yourdomain.com
ip name-server 71.250.0.12
ip name-server 71.242.0.12
no ipv6 cef
!
!
license udi pid CISCO881-K9 sn FTX162683BP
!
!
username admin privilege 15 secret 5 $1$9.I7$4C61J/DT957rNQXyeuJ18/
!
class-map match-all voip
match access-group name voice
class-map match-all data
match vlan 30
!
!
policy-map voip
class voip
bandwidth percent 65
class data
bandwidth percent 34
policy-map Voice_policy
!
!
!
crypto isakmp policy 5
hash md5
authentication pre-share
crypto isakmp key 1voice1 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set voice_set esp-des esp-md5-hmac
!
crypto dynamic-map voice 10
set transform-set voice_set
match address voice
!
crypto map voice 10 ipsec-isakmp dynamic voiceinterface Loopback0
ip address 2.2.2.2 255.255.255.255
!
interface FastEthernet0
!
interface FastEthernet1
switchport access vlan 30
!
interface FastEthernet2
switchport access vlan 20
!
interface FastEthernet3
switchport access vlan 20
!
interface FastEthernet4
ip address ABCD 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex full
speed 100
crypto map voice
service-policy output voip
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 10.10.10.1 255.255.255.248
ip tcp adjust-mss 1452
!
interface Vlan20
ip address 192.168.10.1 255.255.255.248
description to_voice
ip nat inside
ip virtual-reassembly
!
interface Vlan30
description data
ip address 192.168.16.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip nat inside source route-map nonat interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 ABCD name www
ip route 172.16.2.0 255.255.255.0 192.168.10.2
ip route 192.168.15.0 255.255.255.0 192.168.16.2
!
ip access-list extended voice
permit tcp 172.16.2.0 0.0.0.255 192.168.20.0 0.0.0.15 eq 1720
permit udp 172.16.2.0 0.0.0.255 192.168.20.0 0.0.0.15 eq 1718
permit udp 172.16.2.0 0.0.0.255 192.168.20.0 0.0.0.15 eq 1719
deny ip any any
!
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 110 permit ip 192.168.16.0 0.0.0.3 any
access-list 110 permit ip 192.168.15.0 0.0.0.255 any
access-list 110 deny ip host 192.168.10.2 192.168.20.0 0.0.0.15-----isklyuchayu iz NAT to chto idet v VPN
access-list 110 deny ip 172.16.2.0 0.0.0.255 192.168.20.0 0.0.0.15--isklyuchayu iz NAT to chto idet v VPN
access-list 110 permit ip 192.168.10.0 0.0.0.7 any
access-list 110 permit icmp any any echo-reply
access-list 110 permit icmp any any time-exceeded
access-list 110 permit icmp any any unreachable
access-list 110 permit ip 172.16.2.0 0.0.0.255 any
no cdp runroute-map nonat permit 10
match ip address 110
!
!line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
logging synchronous
login local
transport input telnet ssh
!
добавлю IP на VoicemailPC: 192.168.10.2
> добавлю IP на VoicemailPC: 192.168.10.2 - ето ошибка , 192.168.10.2 -eto интерфейс на VOIPPBX который должен быть виден с ВПН , а VoicemailPC-ето 192.168.10.3
>> добавлю IP на VoicemailPC: 192.168.10.2 - ето ошибка , 192.168.10.2 -eto интерфейс на VOIPPBX который должен быть виден с ВПН , а VoicemailPC-ето 192.168.10.3не совсем понял, что надо, но трафик между хостами сети 192.168.10.0/29 на рутер не попадет и соответственно натиться не будет. Если что-то нужно исключить из ната, то просто в ACL в первую строчку добавь deny например deny ip host 192.168.10.2 host 192.168.2.1, тогда если пакет с хоста 10.2 идет на 2.1 он натится не будет, все остально попадает в правило permit ip 192.168.10.0 0.0.0.7 any
> не совсем понял, что надо, но трафик между хостами сети 192.168.10.0/29
> на рутер не попадет и соответственно натиться не будет. Если что-то
> нужно исключить из ната, то просто в ACL в первую строчку
> добавь deny например deny ip host 192.168.10.2 host 192.168.2.1, тогда если
> пакет с хоста 10.2 идет на 2.1 он натится не будет,
> все остально попадает в правило permit ip 192.168.10.0 0.0.0.7 anySpasibo, proyasnil , znachit budet rabotat ;)