Добрый день,уважаемые коллеги!
Есть 2811, которая стоит шлюзом для локалки, внутрь проброшен 53 порт DNS сервер, обслуживаюший внешние зоны. Также, на ней настроен EasyVPN. При подключении к VPN, клиенту назначается адрес, из локалки.Если
ip nat inside source list NAT pool external overload
то VPN работает корректно, но не работает DNS резолвинг снаружиЕсли
ip nat inside source list 1 pool external overload
то VPN работает не корректно, но работает DNS резолвинг снаружиА хочется что-бы работал и ВПН, и DNS резолвинг. Какие идеи?
interface FastEthernet0/0.11
description connected to HQ LAN
encapsulation dot1Q 11
ip address 192.168.0.1 255.255.255.0
ip access-group LAN_Firewall in
ip flow ingress
ip flow egress
ip nat inside
no ip virtual-reassembly
no ip mroute-cache
no cdp enableinterface FastEthernet0/1
description connected to INTERNET
ip address yyy.yyy.yyy.yyy 255.255.255.128 secondary
ip address xxx.xxx.xxx.xxx 255.255.255.128
ip access-group Inet_Firewall.in in
ip access-group Inet_Firewall.OUT out
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto map clientmap
ip nat pool external xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx prefix-length 29
ip nat inside source static tcp 192.168.0.99 53 xxx.xxx.xxx.xxx 53 extendable
ip nat inside source static udp 192.168.0.99 53 xxx.xxx.xxx.xxx 53 extendable
access-list 1 permit 192.168.0.99
access-list 1 permit 192.168.0.100
access-list 1 permit 192.168.0.117
access-list 1 permit 192.168.0.72
access-list 1 permit 192.168.0.75
access-list 1 permit 192.168.0.78
access-list 1 permit 192.168.0.234
access-list 1 permit 192.168.0.254
access-list 1 permit 192.168.0.200
access-list 1 permit 192.168.0.170
access-list 1 permit 192.168.0.159ip access-list extended NAT
deny ip any 192.168.0.0 0.0.255.255 log-input
permit ip host 192.168.0.99 any
permit ip host 192.168.0.100 any
permit ip host 192.168.0.117 any
permit ip host 192.168.0.72 any
permit ip host 192.168.0.75 any
permit ip host 192.168.0.78 any
permit ip host 192.168.0.80 any
permit ip host 192.168.0.234 any
permit ip host 192.168.0.254 any
permit ip host 192.168.0.200 any
permit ip host 192.168.0.170 any
permit ip host 192.168.0.159 any
deny ip any any log-input
к VPN, клиенту назначается адрес, из локалки.
Ваша ошибка именно в этом.
Для VPN клиентов организуйте отдельную подсеть.
Почему - попробуйте подумать
>к VPN, клиенту назначается адрес, из локалки.
>Ваша ошибка именно в этом.
>Для VPN клиентов организуйте отдельную подсеть.
>Почему - попробуйте подуматьх.м. но почему тогда блокируя нат на внешнем интерфейсе, для пакетов которые идут из локалки в локалку, у меня все работает, а вот DNS перестает работать?
P.S. вынос VPN-клиентов в отдельную подсеть не помог
Не нужно натить пакеты, в сеть, что предназначена для ВПН.
>Не нужно натить пакеты, в сеть, что предназначена для ВПН.спасибо! это я понял уже,и создал ACL: ip access-list extended NAT
но как мне в этом правиле решить проблему с DNS сервером, или как в access-list 1 не натить пакеты к ВПН клиентам
>>>как в access-list 1 не натить пакеты к ВПН клиентамdeny from локальная сеть to сеть для ЦискоВПН
в начале списка
>>>>как в access-list 1 не натить пакеты к ВПН клиентам
>
>deny from локальная сеть to сеть для ЦискоВПН
>в начале спискаIP standard access list не поддерживает to сеть для ЦискоВПН
>IP standard access list не поддерживает to сеть для ЦискоВПНТак сделай extended
>
>>IP standard access list не поддерживает to сеть для ЦискоВПН
>
>Так сделай extendedх.м. собсно этим и занимался, когда отвечал.
Все получилось, а теперь вопрос. Чем отличается
access-list 111 от ip access-list extended NAT
>Все получилось, а теперь вопрос. Чем отличается
>access-list 111 от ip access-list extended NAT1. Названием. Второй вариант это именованные ACL
2. Не все сервисы поддерживают именованные ACL
все вроде