Добрый день. У меня настроен тунель между двумя маршрутизаторами и таким образом обьеденены две удаленные подсети.
Столкнулся с такой проблемой --- если у меня настроен NAT для публикации порта во внешний мир
(ip nat inside source static tcp loc_ip 443 interface outside_int 443)
То этот порт (443) недоступен внутри тунеля.
Куда дальше двигаться ? Как обойти попадание пакетов под ip nat inside source static tcp loc_ip 443 interface outside_int 443 если они идут изнутри туннеля ?
>Добрый день. У меня настроен тунель между двумя маршрутизаторами и таким образом
>обьеденены две удаленные подсети.
>Столкнулся с такой проблемой --- если у меня настроен NAT для публикации
>порта во внешний мир
>(ip nat inside source static tcp loc_ip 443 interface outside_int 443)
>То этот порт (443) недоступен внутри тунеля.
>Куда дальше двигаться ? Как обойти попадание пакетов под ip nat inside
>source static tcp loc_ip 443 interface outside_int 443 если они идут
>изнутри туннеля ?Акцес на запрет пакетов из туннеля в НАТ
>Добрый день. У меня настроен тунель между двумя маршрутизаторами и таким образом
>обьеденены две удаленные подсети.
>Столкнулся с такой проблемой --- если у меня настроен NAT для публикации
>порта во внешний мир
>(ip nat inside source static tcp loc_ip 443 interface outside_int 443)
>То этот порт (443) недоступен внутри тунеля.
>Куда дальше двигаться ? Как обойти попадание пакетов под ip nat inside
>source static tcp loc_ip 443 interface outside_int 443 если они идут
>изнутри туннеля ?вот ссылка про твою проблему
http://www.ciscolab.ru/2007/07/22/ipsec_router_nat.html
>[оверквотинг удален]
>>Столкнулся с такой проблемой --- если у меня настроен NAT для публикации
>>порта во внешний мир
>>(ip nat inside source static tcp loc_ip 443 interface outside_int 443)
>>То этот порт (443) недоступен внутри тунеля.
>>Куда дальше двигаться ? Как обойти попадание пакетов под ip nat inside
>>source static tcp loc_ip 443 interface outside_int 443 если они идут
>>изнутри туннеля ?
>
>вот ссылка про твою проблему
>http://www.ciscolab.ru/2007/07/22/ipsec_router_nat.htmlОгромное спасибо SergTel за ссылку. Попробую и отпишусь о результате ....
>[оверквотинг удален]
>>>(ip nat inside source static tcp loc_ip 443 interface outside_int 443)
>>>То этот порт (443) недоступен внутри тунеля.
>>>Куда дальше двигаться ? Как обойти попадание пакетов под ip nat inside
>>>source static tcp loc_ip 443 interface outside_int 443 если они идут
>>>изнутри туннеля ?
>>
>>вот ссылка про твою проблему
>>http://www.ciscolab.ru/2007/07/22/ipsec_router_nat.html
>
>Огромное спасибо SergTel за ссылку. Попробую и отпишусь о результате ....В статье описан метод, когда приходится все порты натить на определенный внутренний IP.
ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat
А как сделать то же, но натить не все порты, а только определенные ? Допустим 25-й и 110-й на один внутренний IP,а 389-й на другой ?
Добавить route-map в ip nat inside source static tcp loc_ip 443 interface outside_int 443
не получается ...
>[оверквотинг удален]
>
>В статье описан метод, когда приходится все порты натить на определенный внутренний
>IP.
>ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat
>А как сделать то же, но натить не все порты, а только
>определенные ? Допустим 25-й и 110-й на один внутренний IP,а 389-й
>на другой ?
>Добавить route-map в ip nat inside source static tcp loc_ip 443 interface
>outside_int 443
>не получается ...Кроме того .... после того, как включаем трансляцию по всем портам у меня пропадает возможность подключаться VPN клиентом у удаленных пользователей .... наверное из за того, что все пакеты по всем портам согласно ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat отправляются прямиком на внутренний хост в локальной сети.
>>[оверквотинг удален]
>>
>>В статье описан метод, когда приходится все порты натить на определенный внутренний
>>IP.
>>ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat
>>А как сделать то же, но натить не все порты, а только
>>определенные ? Допустим 25-й и 110-й на один внутренний IP,а 389-й
>>на другой ?ip nat inside source static 10.1.1.3 25 200.1.1.25 25 route-map nonat ext
ip nat inside source static 10.1.1.3 110 200.1.1.25 100 route-map nonat ext
ip nat inside source static 10.1.1.15 389 200.1.1.25 389 route-map nonat ext
>>Добавить route-map в ip nat inside source static tcp loc_ip 443 interface
>>outside_int 443
>>не получается ...ip nat inside source static tcp local-addr 443 public-addr 443 route-map name-rmap extendable
>
>Кроме того .... после того, как включаем трансляцию по всем портам
>у меня пропадает возможность подключаться VPN клиентом у удаленных пользователей ....
>наверное из за того, что все пакеты по всем портам согласно
>ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat отправляются прямикомПрочитай внимательно про технологии нат(пат)
я сам разбирался после курсов долго, практиковался с книжками в руках
зато тест потом сдал с 1 раза
Везет у тебя все это впереди! Удачи!
>[оверквотинг удален]
>
>В статье описан метод, когда приходится все порты натить на определенный внутренний
>IP.
>ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat
>А как сделать то же, но натить не все порты, а только
>определенные ? Допустим 25-й и 110-й на один внутренний IP,а 389-й
>на другой ?
>Добавить route-map в ip nat inside source static tcp loc_ip 443 interface
>outside_int 443
>не получается ...конфиг кинь быстрее найдем ошибки
>[оверквотинг удален]
>>IP.
>>ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat
>>А как сделать то же, но натить не все порты, а только
>>определенные ? Допустим 25-й и 110-й на один внутренний IP,а 389-й
>>на другой ?
>>Добавить route-map в ip nat inside source static tcp loc_ip 443 interface
>>outside_int 443
>>не получается ...
>
>конфиг кинь быстрее найдем ошибкиЕще раз огромное спасибо. Удивительно, но после вашего первого ответа я пытался прописать
ip nat inside source static tcp local-addr 443 public-addr 443 route-map name-rmap extendable/
но у меня не получалось добавить в конце route-map name-rmap extendable.
Вообщем во второй раз все получилось :). Теперь у меня и клиенты подключаются и статический туннель работает и подсети корректно видны при условии внешнего НАТа :).
Еще раз большое спасибо. Все получилось.