URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18834
[ Назад ]

Исходное сообщение
"хитрая настройка ACL для NAT"

Отправлено Незнайка , 12-Май-09 10:38 
Добрый день,уважаемые коллеги!
Есть 2811, которая стоит шлюзом для локалки, внутрь проброшен 53 порт DNS сервер, обслуживаюший внешние зоны. Также, на ней настроен EasyVPN. При подключении к VPN, клиенту назначается адрес, из локалки.

Если
ip nat inside source list NAT pool external overload
то VPN работает корректно, но не работает DNS резолвинг снаружи

Если
ip nat inside source list 1 pool external overload
то VPN работает не корректно, но работает DNS резолвинг снаружи

А хочется что-бы работал и ВПН, и DNS резолвинг. Какие идеи?

interface FastEthernet0/0.11
description connected to HQ LAN
encapsulation dot1Q 11
ip address 192.168.0.1 255.255.255.0
ip access-group LAN_Firewall in
ip flow ingress
ip flow egress
ip nat inside
no ip virtual-reassembly
no ip mroute-cache
no cdp enable

interface FastEthernet0/1
description connected to INTERNET
ip address yyy.yyy.yyy.yyy 255.255.255.128 secondary
ip address xxx.xxx.xxx.xxx 255.255.255.128
ip access-group Inet_Firewall.in in
ip access-group Inet_Firewall.OUT out
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto map clientmap


ip nat pool external xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx prefix-length 29
ip nat inside source static tcp 192.168.0.99 53 xxx.xxx.xxx.xxx 53 extendable
ip nat inside source static udp 192.168.0.99 53 xxx.xxx.xxx.xxx 53 extendable


access-list 1 permit 192.168.0.99
access-list 1 permit 192.168.0.100
access-list 1 permit 192.168.0.117
access-list 1 permit 192.168.0.72
access-list 1 permit 192.168.0.75
access-list 1 permit 192.168.0.78
access-list 1 permit 192.168.0.234
access-list 1 permit 192.168.0.254
access-list 1 permit 192.168.0.200
access-list 1 permit 192.168.0.170
access-list 1 permit 192.168.0.159

ip access-list extended NAT
deny   ip any 192.168.0.0 0.0.255.255 log-input
permit ip host 192.168.0.99 any
permit ip host 192.168.0.100 any
permit ip host 192.168.0.117 any
permit ip host 192.168.0.72 any
permit ip host 192.168.0.75 any
permit ip host 192.168.0.78 any
permit ip host 192.168.0.80 any
permit ip host 192.168.0.234 any
permit ip host 192.168.0.254 any
permit ip host 192.168.0.200 any
permit ip host 192.168.0.170 any
permit ip host 192.168.0.159 any
deny   ip any any log-input


Содержание

Сообщения в этом обсуждении
"хитрая настройка ACL для NAT"
Отправлено CrAzOiD , 12-Май-09 11:07 
к VPN, клиенту назначается адрес, из локалки.
Ваша ошибка именно в этом.
Для VPN клиентов организуйте отдельную подсеть.
Почему - попробуйте подумать

"хитрая настройка ACL для NAT"
Отправлено Незнайка , 12-Май-09 11:34 
>к VPN, клиенту назначается адрес, из локалки.
>Ваша ошибка именно в этом.
>Для VPN клиентов организуйте отдельную подсеть.
>Почему - попробуйте подумать

х.м. но почему тогда блокируя нат на внешнем интерфейсе, для пакетов которые идут из локалки в локалку, у меня все работает, а вот DNS перестает работать?

P.S. вынос VPN-клиентов  в отдельную подсеть не помог


"хитрая настройка ACL для NAT"
Отправлено MANG , 12-Май-09 14:34 
Не нужно натить пакеты, в сеть, что предназначена для ВПН.

"хитрая настройка ACL для NAT"
Отправлено Незнайка , 12-Май-09 14:39 
>Не нужно натить пакеты, в сеть, что предназначена для ВПН.

спасибо! это я понял уже,и создал ACL: ip access-list extended NAT
но как мне в этом правиле решить проблему с DNS сервером, или как в access-list 1 не натить пакеты к ВПН клиентам


"хитрая настройка ACL для NAT"
Отправлено MANG , 12-Май-09 16:47 
>>>как в access-list 1 не натить пакеты к ВПН клиентам

deny from локальная сеть to сеть для ЦискоВПН
в начале списка



"хитрая настройка ACL для NAT"
Отправлено Незнайка , 12-Май-09 16:49 
>>>>как в access-list 1 не натить пакеты к ВПН клиентам
>
>deny from локальная сеть to сеть для ЦискоВПН
>в начале списка

IP standard access list не поддерживает to сеть для ЦискоВПН


"хитрая настройка ACL для NAT"
Отправлено MANG , 12-Май-09 16:51 

>IP standard access list не поддерживает to сеть для ЦискоВПН

Так сделай extended


"хитрая настройка ACL для NAT"
Отправлено Незнайка , 12-Май-09 16:55 
>
>>IP standard access list не поддерживает to сеть для ЦискоВПН
>
>Так сделай extended

х.м. собсно этим и занимался, когда отвечал.
Все получилось, а теперь вопрос. Чем отличается
access-list 111 от ip access-list extended NAT


"хитрая настройка ACL для NAT"
Отправлено CrAzOiD , 12-Май-09 17:09 
>Все получилось, а теперь вопрос. Чем отличается
>access-list 111 от ip access-list extended NAT

1. Названием. Второй вариант это именованные ACL
2. Не все сервисы поддерживают именованные ACL
все вроде