URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16531
[ Назад ]

Исходное сообщение
"Обойти nat inside для пакетов из туннеля"
Отправлено kris , 18-Июн-08 14:04

Добрый день. У меня настроен тунель между двумя маршрутизаторами и таким образом обьеденены две удаленные подсети.
Столкнулся с такой проблемой --- если у меня настроен NAT для публикации порта во внешний мир
(ip nat inside source static tcp loc_ip 443 interface outside_int 443)
То этот порт (443) недоступен внутри тунеля.
Куда дальше двигаться ? Как обойти попадание пакетов под ip nat inside source static tcp loc_ip 443 interface outside_int 443 если они идут изнутри туннеля ?

Содержание

Обойти nat inside для пакетов из туннеля,SergTel, 14:29 , 18-Июн-08
Обойти nat inside для пакетов из туннеля,SergTel, 14:36 , 18-Июн-08
- Обойти nat inside для пакетов из туннеля,kris, 16:34 , 18-Июн-08
  - Обойти nat inside для пакетов из туннеля,kris, 19:10 , 18-Июн-08
    - Обойти nat inside для пакетов из туннеля,kris, 19:18 , 18-Июн-08
      - Обойти nat inside для пакетов из туннеля,SergTel, 20:51 , 18-Июн-08
    - Обойти nat inside для пакетов из туннеля,SergTel, 20:56 , 18-Июн-08
      - Обойти nat inside для пакетов из туннеля,kris, 23:41 , 18-Июн-08

Сообщения в этом обсуждении

"Обойти nat inside для пакетов из туннеля"
Отправлено SergTel , 18-Июн-08 14:29

>Добрый день. У меня настроен тунель между двумя маршрутизаторами и таким образом
>обьеденены две удаленные подсети.
>Столкнулся с такой проблемой --- если у меня настроен NAT для публикации
>порта во внешний мир
>(ip nat inside source static tcp loc_ip 443 interface outside_int 443)
>То этот порт (443) недоступен внутри тунеля.
>Куда дальше двигаться ? Как обойти попадание пакетов под ip nat inside
>source static tcp loc_ip 443 interface outside_int 443 если они идут
>изнутри туннеля ?
Акцес на запрет пакетов из туннеля в НАТ

"Обойти nat inside для пакетов из туннеля"
Отправлено SergTel , 18-Июн-08 14:36

>Добрый день. У меня настроен тунель между двумя маршрутизаторами и таким образом
>обьеденены две удаленные подсети.
>Столкнулся с такой проблемой --- если у меня настроен NAT для публикации
>порта во внешний мир
>(ip nat inside source static tcp loc_ip 443 interface outside_int 443)
>То этот порт (443) недоступен внутри тунеля.
>Куда дальше двигаться ? Как обойти попадание пакетов под ip nat inside
>source static tcp loc_ip 443 interface outside_int 443 если они идут
>изнутри туннеля ?
вот ссылка про твою проблему
http://www.ciscolab.ru/2007/07/22/ipsec_router_nat.html

"Обойти nat inside для пакетов из туннеля"
Отправлено kris , 18-Июн-08 16:34

>[оверквотинг удален]
>>Столкнулся с такой проблемой --- если у меня настроен NAT для публикации
>>порта во внешний мир
>>(ip nat inside source static tcp loc_ip 443 interface outside_int 443)
>>То этот порт (443) недоступен внутри тунеля.
>>Куда дальше двигаться ? Как обойти попадание пакетов под ip nat inside
>>source static tcp loc_ip 443 interface outside_int 443 если они идут
>>изнутри туннеля ?
>
>вот ссылка про твою проблему
>http://www.ciscolab.ru/2007/07/22/ipsec_router_nat.html
Огромное спасибо SergTel за ссылку. Попробую и отпишусь о результате ....

"Обойти nat inside для пакетов из туннеля"
Отправлено kris , 18-Июн-08 19:10

>[оверквотинг удален]
>>>(ip nat inside source static tcp loc_ip 443 interface outside_int 443)
>>>То этот порт (443) недоступен внутри тунеля.
>>>Куда дальше двигаться ? Как обойти попадание пакетов под ip nat inside
>>>source static tcp loc_ip 443 interface outside_int 443 если они идут
>>>изнутри туннеля ?
>>
>>вот ссылка про твою проблему
>>http://www.ciscolab.ru/2007/07/22/ipsec_router_nat.html
>
>Огромное спасибо SergTel за ссылку. Попробую и отпишусь о результате ....
В статье описан метод, когда приходится все порты натить на определенный внутренний IP.
ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat
А как сделать то же, но натить не все порты, а только определенные ? Допустим 25-й и 110-й на один внутренний IP,а 389-й на другой ?
Добавить route-map в ip nat inside source static tcp loc_ip 443 interface outside_int 443
не получается ...

"Обойти nat inside для пакетов из туннеля"
Отправлено kris , 18-Июн-08 19:18

>[оверквотинг удален]
>
>В статье описан метод, когда приходится все порты натить на определенный внутренний
>IP.
>ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat
>А как сделать то же, но натить не все порты, а только
>определенные ? Допустим 25-й и 110-й на один внутренний IP,а 389-й
>на другой ?
>Добавить route-map в ip nat inside source static tcp loc_ip 443 interface
>outside_int 443
>не получается ...
Кроме того .... после того, как включаем трансляцию по всем портам у меня пропадает возможность подключаться VPN клиентом у удаленных пользователей .... наверное из за того, что все пакеты по всем портам согласно ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat отправляются прямиком на внутренний хост в локальной сети.

"Обойти nat inside для пакетов из туннеля"
Отправлено SergTel , 18-Июн-08 20:51

>>[оверквотинг удален]
>>
>>В статье описан метод, когда приходится все порты натить на определенный внутренний
>>IP.
>>ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat
>>А как сделать то же, но натить не все порты, а только
>>определенные ? Допустим 25-й и 110-й на один внутренний IP,а 389-й
>>на другой ?
ip nat inside source static 10.1.1.3 25 200.1.1.25 25 route-map nonat ext
ip nat inside source static 10.1.1.3 110 200.1.1.25 100 route-map nonat ext
ip nat inside source static 10.1.1.15 389 200.1.1.25 389 route-map nonat ext
>>Добавить route-map в ip nat inside source static tcp loc_ip 443 interface
>>outside_int 443
>>не получается ...
ip nat inside source static tcp local-addr 443 public-addr 443 route-map name-rmap extendable
>
>Кроме того .... после того, как включаем трансляцию по всем портам
>у меня пропадает возможность подключаться VPN клиентом у удаленных пользователей ....
>наверное из за того, что все пакеты по всем портам согласно
>ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat отправляются прямиком
Прочитай внимательно про технологии нат(пат)
я сам разбирался после курсов долго, практиковался с книжками в руках
зато тест потом сдал с 1 раза
Везет у тебя все это впереди! Удачи!

"Обойти nat inside для пакетов из туннеля"
Отправлено SergTel , 18-Июн-08 20:56

>[оверквотинг удален]
>
>В статье описан метод, когда приходится все порты натить на определенный внутренний
>IP.
>ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat
>А как сделать то же, но натить не все порты, а только
>определенные ? Допустим 25-й и 110-й на один внутренний IP,а 389-й
>на другой ?
>Добавить route-map в ip nat inside source static tcp loc_ip 443 interface
>outside_int 443
>не получается ...
конфиг кинь быстрее найдем ошибки

"Обойти nat inside для пакетов из туннеля"
Отправлено kris , 18-Июн-08 23:41

>[оверквотинг удален]
>>IP.
>>ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat
>>А как сделать то же, но натить не все порты, а только
>>определенные ? Допустим 25-й и 110-й на один внутренний IP,а 389-й
>>на другой ?
>>Добавить route-map в ip nat inside source static tcp loc_ip 443 interface
>>outside_int 443
>>не получается ...
>
>конфиг кинь быстрее найдем ошибки
Еще раз огромное спасибо. Удивительно, но после вашего первого ответа я пытался прописать
ip nat inside source static tcp local-addr 443 public-addr 443 route-map name-rmap extendable/
но у меня не получалось добавить в конце route-map name-rmap extendable.
Вообщем во второй раз все получилось :). Теперь у меня и клиенты подключаются и статический туннель работает и подсети корректно видны при условии внешнего НАТа :).
Еще раз большое спасибо. Все получилось.