Вопрос есть по Cisco 2621xm

Есть локальная сеть в подсети 192.168.1.0/24 в своём vlan. Есть подсеть внешних ip от провайдера, в которых расположены почта, веб и т.п. в своём vlan. Как на устройстве Cisco 2621xm сделать такой NAT, который бы закрывал одним внешним ip внутреннюю сеть, но доступ к mail и web в подсети провайдера был бы по оригинальным адресам (192.168.10.0/24)?

• NAT на Cisco 2621xm,crash, 07:21 , 26-Апр-11
  • NAT на Cisco 2621xm,Tiunov Igor, 09:15 , 26-Апр-11
    • NAT на Cisco 2621xm,Sharky, 12:11 , 26-Апр-11
      • NAT на Cisco 2621xm,Tiunov Igor, 12:39 , 26-Апр-11
        • NAT на Cisco 2621xm,lumenous, 12:47 , 26-Апр-11
        • NAT на Cisco 2621xm,Sharky, 13:26 , 26-Апр-11
          • NAT на Cisco 2621xm,Tiunov Igor, 14:05 , 26-Апр-11
• NAT на Cisco 2621xm,Tiunov Igor, 14:19 , 26-Апр-11
  • NAT на Cisco 2621xm,Sharky, 15:12 , 26-Апр-11
    • NAT на Cisco 2621xm,Tiunov Igor, 15:47 , 26-Апр-11
      • NAT на Cisco 2621xm,Sharky, 15:52 , 26-Апр-11
    • NAT на Cisco 2621xm,Tiunov Igor, 15:59 , 26-Апр-11
      • NAT на Cisco 2621xm,Sharky, 16:08 , 26-Апр-11
        • NAT на Cisco 2621xm,Tiunov Igor, 16:28 , 26-Апр-11
          • NAT на Cisco 2621xm,Tiunov Igor, 16:35 , 26-Апр-11
            • NAT на Cisco 2621xm,Tiunov Igor, 19:50 , 26-Апр-11
  • NAT на Cisco 2621xm,crash, 06:35 , 27-Апр-11
    • NAT на Cisco 2621xm,Tiunov Igor, 09:10 , 27-Апр-11
      • NAT на Cisco 2621xm,crash, 13:28 , 27-Апр-11
        • NAT на Cisco 2621xm,Tiunov Igor, 14:03 , 27-Апр-11
          • NAT на Cisco 2621xm,blank, 14:44 , 27-Апр-11
            • NAT на Cisco 2621xm,Tiunov Igor, 16:12 , 27-Апр-11
              • NAT на Cisco 2621xm,blank, 16:43 , 27-Апр-11
                • NAT на Cisco 2621xm,Tiunov Igor, 16:50 , 27-Апр-11
                  • NAT на Cisco 2621xm,blank, 16:55 , 27-Апр-11
                    • NAT на Cisco 2621xm,Tiunov Igor, 17:44 , 27-Апр-11
                      • NAT на Cisco 2621xm,crash, 05:36 , 28-Апр-11
                        • NAT на Cisco 2621xm,Tiunov Igor, 09:36 , 28-Апр-11
                          • NAT на Cisco 2621xm,crash, 05:39 , 29-Апр-11
                            • NAT на Cisco 2621xm,Tiunov Igor, 09:07 , 29-Апр-11
                            • NAT на Cisco 2621xm,Tiunov Igor, 09:34 , 29-Апр-11

> Вопрос есть по Cisco 2621xm
> Есть локальная сеть в подсети 192.168.1.0/24 в своём vlan. Есть подсеть внешних
> ip от провайдера, в которых расположены почта, веб и т.п. в
> своём vlan. Как на устройстве Cisco 2621xm сделать такой NAT, который
> бы закрывал одним внешним ip внутреннюю сеть, но доступ к mail
> и web в подсети провайдера был бы по оригинальным адресам (192.168.10.0/24)?

У провайдера сервера находятся в сети 192.168.10.0/24?
И провайдер для сети 192.168.10.0/24 прописал маршрут как попасть в сеть 192.168.1.0/24?

>> Вопрос есть по Cisco 2621xm
>> Есть локальная сеть в подсети 192.168.1.0/24 в своём vlan. Есть подсеть внешних
>> ip от провайдера, в которых расположены почта, веб и т.п. в
>> своём vlan. Как на устройстве Cisco 2621xm сделать такой NAT, который
>> бы закрывал одним внешним ip внутреннюю сеть, но доступ к mail
>> и web в подсети провайдера был бы по оригинальным адресам (192.168.10.0/24)?
> У провайдера сервера находятся в сети 192.168.10.0/24?
> И провайдер для сети 192.168.10.0/24 прописал маршрут как попасть в сеть 192.168.1.0/24?

Простите, описался там. вместо "доступ к mail и web в подсети провайдера был бы по оригинальным адресам (192.168.10.0/24)?" читайте "доступ к mail и web в подсети провайдера был бы по оригинальным адресам (192.168.1.0/24)?"

Смысл в том, чтобы локальные адреса не натились при доступе к www и mail. www и mail имеют публичные адреса из подсети выданной провайдером. Cisco смотрит одним концом в локальную сеть, а другим в подсеть провайдера.

>[оверквотинг удален]
>>> и web в подсети провайдера был бы по оригинальным адресам (192.168.10.0/24)?
>> У провайдера сервера находятся в сети 192.168.10.0/24?
>> И провайдер для сети 192.168.10.0/24 прописал маршрут как попасть в сеть 192.168.1.0/24?
> Простите, описался там. вместо "доступ к mail и web в подсети провайдера
> был бы по оригинальным адресам (192.168.10.0/24)?" читайте "доступ к mail и
> web в подсети провайдера был бы по оригинальным адресам (192.168.1.0/24)?"
> Смысл в том, чтобы локальные адреса не натились при доступе к www
> и mail. www и mail имеют публичные адреса из подсети выданной
> провайдером. Cisco смотрит одним концом в локальную сеть, а другим в
> подсеть провайдера.

Попробуйте так.

int <VlanN1>
Description LAN
ip nat inside
ip access-group 101 in

int <VlanN2>
Description Provider
ip nat outside

ip nat inside source list 102 interface Vlan2

access-list 101 permit ip any host mail_ip
access-list 101 permit ip any host www_ip
................................................
access-list 101 permit <aproval networks or host> any
access-list 101 deny ip any any

access-list 102 deny ip any host mail_ip
access-list 102 deny ip any host www_ip
..........................................
access-list 102 permit ip any any

>[оверквотинг удален]
> ip nat inside source list 102 interface Vlan2
> access-list 101 permit ip any host mail_ip
> access-list 101 permit ip any host www_ip
> ................................................
> access-list 101 permit <aproval networks or host> any
> access-list 101 deny ip any any
> access-list 102 deny ip any host mail_ip
> access-list 102 deny ip any host www_ip
> ..........................................
> access-list 102 permit ip any any

Спасибо, сделал, работает. Как я понял NAT разруливается с помощью access-list, это нормальная практика?

>[оверквотинг удален]
>> access-list 101 permit ip any host www_ip
>> ................................................
>> access-list 101 permit <aproval networks or host> any
>> access-list 101 deny ip any any
>> access-list 102 deny ip any host mail_ip
>> access-list 102 deny ip any host www_ip
>> ..........................................
>> access-list 102 permit ip any any
> Спасибо, сделал, работает. Как я понял NAT разруливается с помощью access-list, это
> нормальная практика?

Да.

С помощью акцесс-листов еще много чего делают, за исключением банального закрытия доступа к ресурсам)
По сути ACL - это механизм описания объектов, которые будут подвергаться той или иной обработке (NAT, QOS, полисинг и тп и тд).

>[оверквотинг удален]
>> access-list 101 permit ip any host www_ip
>> ................................................
>> access-list 101 permit <aproval networks or host> any
>> access-list 101 deny ip any any
>> access-list 102 deny ip any host mail_ip
>> access-list 102 deny ip any host www_ip
>> ..........................................
>> access-list 102 permit ip any any
> Спасибо, сделал, работает. Как я понял NAT разруливается с помощью access-list, это
> нормальная практика?

Все что работает и поддается логическому осмыслению - нормальная практика ;)

>[оверквотинг удален]
>>> ................................................
>>> access-list 101 permit <aproval networks or host> any
>>> access-list 101 deny ip any any
>>> access-list 102 deny ip any host mail_ip
>>> access-list 102 deny ip any host www_ip
>>> ..........................................
>>> access-list 102 permit ip any any
>> Спасибо, сделал, работает. Как я понял NAT разруливается с помощью access-list, это
>> нормальная практика?
> Все что работает и поддается логическому осмыслению - нормальная практика ;)

Не совсем так, можно делать как деревенский ремесленник, абы как получается, а можно к делу подойти с научной точки зрения и т.д. Где-то читал такую аналогию "это вы у себя в деревне можете пол литра выпить и по полям херачить на тракторе не разбирая дороги. А в городе чёткие прямые улицы, со своими правилами движения и ограничениями, не соблюдая которых, далеко не уедешь"

> Вопрос есть по Cisco 2621xm

Продолжу в этой ветке. На этом же устройстве есть необходимость натить адрес из определённой подсети статически. Что я делаю:

Первый вариант:

interface FastEthernet0/0
no ip address
speed auto
full-duplex
!
interface FastEthernet0/0.9
encapsulation dot1Q 9
ip address <внешний ip> 255.255.255.240
ip nat outside
!
interface FastEthernet0/0.14
encapsulation dot1Q 14
ip address 192.168.14.1 255.255.255.0
ip nat inside
!
interface Serial0/0
no ip address
shutdown
no cdp enable
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface Serial0/1
no ip address
shutdown
no cdp enable
!
ip nat inside source static 192.168.14.2 interface FastEthernet0/0.9
no ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 <шлюз провайдера>

И второй вариант:

interface FastEthernet0/0
no ip address
speed auto
full-duplex
!
interface FastEthernet0/0.9
encapsulation dot1Q 9
ip address <внешний ip> 255.255.255.240
ip nat outside
!
interface FastEthernet0/0.14
encapsulation dot1Q 14
ip address 192.168.14.1 255.255.255.0
ip nat inside
!
interface Serial0/0
no ip address
shutdown
no cdp enable
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface Serial0/1
no ip address
shutdown
no cdp enable
!
ip nat inside source static 192.168.14.2 <второй внешний ip>
no ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 <шлюз провайдера>

При конфигурации указанной во втором варианте vpn устройство, которому нужен статический NAT отказывается работать, а при первом - работает. Какая между ними принципиальная разница?

> При конфигурации указанной во втором варианте vpn устройство, которому нужен статический
> NAT отказывается работать, а при первом - работает. Какая между ними
> принципиальная разница?

Попробуйте ip proxy-arp на interface FastEthernet0/0.9
Но вот это как раз уже плохая практика.

>> При конфигурации указанной во втором варианте vpn устройство, которому нужен статический
>> NAT отказывается работать, а при первом - работает. Какая между ними
>> принципиальная разница?
> Попробуйте ip proxy-arp на interface FastEthernet0/0.9
> Но вот это как раз уже плохая практика.

Я так понимаю при ip proxy-arp второй вариант конфига должен заработать?

>>> При конфигурации указанной во втором варианте vpn устройство, которому нужен статический
>>> NAT отказывается работать, а при первом - работает. Какая между ними
>>> принципиальная разница?
>> Попробуйте ip proxy-arp на interface FastEthernet0/0.9
>> Но вот это как раз уже плохая практика.
> Я так понимаю при ip proxy-arp второй вариант конфига должен заработать?

Не знаю. Возможно.

>> При конфигурации указанной во втором варианте vpn устройство, которому нужен статический
>> NAT отказывается работать, а при первом - работает. Какая между ними
>> принципиальная разница?
> Попробуйте ip proxy-arp на interface FastEthernet0/0.9
> Но вот это как раз уже плохая практика.

Есть ещё такой момент. Раньше всё это работало по конфигу №1, но с той разницей, что на интерфейсе Fa0/0.9 был адрес из другой внешней подсети, т.к. данная Cisco выступала как пограничный роутер для наших внешних серверов. Вобщем разница была в том, что NAT адрес и внешний адрес Cisco были из разных подсетей и по конфигу №1 всё работало. Как только эти два адреса стали из одной подсети, заработал только второй вариант.

вот тут читайте.
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...

так заработало после включения proxy-arp? интересно просто :)

> вот тут читайте.
> http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...
> так заработало после включения proxy-arp? интересно просто :)

Пока не могу проверить, после шести.. Мануал этот уже открыт.

>> вот тут читайте.
>> http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...
>> так заработало после включения proxy-arp? интересно просто :)
> Пока не могу проверить, после шести.. Мануал этот уже открыт.

Только пока не могу понять, как это повлияет на статический NAT. Есть инструкция по вышеуказанному vpn устройству с десятком портов и протоколом esp, которые должны проходить не подменяясь, как привязать сюда proxy-arp?

>>> вот тут читайте.
>>> http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...
>>> так заработало после включения proxy-arp? интересно просто :)
>> Пока не могу проверить, после шести.. Мануал этот уже открыт.
> Только пока не могу понять, как это повлияет на статический NAT. Есть
> инструкция по вышеуказанному vpn устройству с десятком портов и протоколом esp,
> которые должны проходить не подменяясь, как привязать сюда proxy-arp?

ip proxy-arp не помогло

> При конфигурации указанной во втором варианте vpn устройство, которому нужен статический
> NAT отказывается работать, а при первом - работает. Какая между ними
> принципиальная разница?

А вам точно провайдер дал 2 айпи и вы их можете использоваться?

>> При конфигурации указанной во втором варианте vpn устройство, которому нужен статический
>> NAT отказывается работать, а при первом - работает. Какая между ними
>> принципиальная разница?
> А вам точно провайдер дал 2 айпи и вы их можете использоваться?

У меня 28 маска, сколько у меня IP?))

>>> При конфигурации указанной во втором варианте vpn устройство, которому нужен статический
>>> NAT отказывается работать, а при первом - работает. Какая между ними
>>> принципиальная разница?
>> А вам точно провайдер дал 2 айпи и вы их можете использоваться?
> У меня 28 маска, сколько у меня IP?))

В одной месте провайдер выдает подсетку с CIDR /28, но вот айпишник использовать можно только один, который сказал провайдер. Так что ничего смешного не вижу.
Но если вы уверены что все ваше, то переговорите с провайдером, почему нет доступа ко второму айпишнику.

>>>> При конфигурации указанной во втором варианте vpn устройство, которому нужен статический
>>>> NAT отказывается работать, а при первом - работает. Какая между ними
>>>> принципиальная разница?
>>> А вам точно провайдер дал 2 айпи и вы их можете использоваться?
>> У меня 28 маска, сколько у меня IP?))
> В одной месте провайдер выдает подсетку с CIDR /28, но вот айпишник
> использовать можно только один, который сказал провайдер. Так что ничего смешного
> не вижу.
> Но если вы уверены что все ваше, то переговорите с провайдером, почему
> нет доступа ко второму айпишнику.

Да я совсем не смеюсь, подсеть полностью в моём ведении, ip проверен доступ к нему из через него есть. Всё таки в чём принципиальное отличие двух строчек:

ip nat inside source static 192.168.14.2 interface FastEthernet0/0.9
ip nat inside source static 192.168.14.2 <второй внешний ip>

> принципиальное отличие двух строчек:
> ip nat inside source static 192.168.14.2 interface FastEthernet0/0.9
> ip nat inside source static 192.168.14.2 <второй внешний ip>

в первом случае натится в ИП интерфейса, во втором во второй ИП

и я не понял какой вариант у вас работает?
"При конфигурации указанной во втором варианте vpn устройство, которому нужен статический NAT отказывается работать"
"Как только эти два адреса стали из одной подсети, заработал только второй вариант."

>> принципиальное отличие двух строчек:
>> ip nat inside source static 192.168.14.2 interface FastEthernet0/0.9
>> ip nat inside source static 192.168.14.2 <второй внешний ip>
> в первом случае натится в ИП интерфейса, во втором во второй ИП
> и я не понял какой вариант у вас работает?
> "При конфигурации указанной во втором варианте vpn устройство, которому нужен статический
> NAT отказывается работать"
> "Как только эти два адреса стали из одной подсети, заработал только второй
> вариант."

Рабочий вариант сейчас вот этот:

interface FastEthernet0/0
no ip address
speed auto
full-duplex
!
interface FastEthernet0/0.9
encapsulation dot1Q 9
ip address <внешний ip> 255.255.255.240
ip nat outside
!
interface FastEthernet0/0.14
encapsulation dot1Q 14
ip address 192.168.14.1 255.255.255.0
ip nat inside
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
ip nat inside source static 192.168.14.2 interface FastEthernet0/0.9
no ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 <шлюз провайдера>

Принципиальное отличие мне бы хотелось понять в самом механизме NAT в этих случаях. Например сейчас с самого устройства Cisco 2621xm внешние адреса не пингуются, в том числе и шлюз ISP, а нат работает, vpn пробрасывается по статическому NAT, связь есть.

> Принципиальное отличие мне бы хотелось понять в самом механизме NAT в этих
> случаях. Например сейчас с самого устройства Cisco 2621xm внешние адреса не
> пингуются, в том числе и шлюз ISP, а нат работает, vpn
> пробрасывается по статическому NAT, связь есть.

а трафик с самой циски через нат не проходит, связи с натом тут нет.

>> Принципиальное отличие мне бы хотелось понять в самом механизме NAT в этих
>> случаях. Например сейчас с самого устройства Cisco 2621xm внешние адреса не
>> пингуются, в том числе и шлюз ISP, а нат работает, vpn
>> пробрасывается по статическому NAT, связь есть.
> а трафик с самой циски через нат не проходит, связи с натом
> тут нет.

Я бы и не хотел, чтобы с циски трафик шёл через нат, как я понимаю интерфейс уходит во владение NAT и для других целей я его не смогу использовать?

> Я бы и не хотел, чтобы с циски трафик шёл через нат,
> как я понимаю интерфейс уходит во владение NAT и для других
> целей я его не смогу использовать?

для каких других?
интерфейс с натом ничем (кроме самого ната) от интерфейса без такового не отличается.

>> Я бы и не хотел, чтобы с циски трафик шёл через нат,
>> как я понимаю интерфейс уходит во владение NAT и для других
>> целей я его не смогу использовать?
> для каких других?
> интерфейс с натом ничем (кроме самого ната) от интерфейса без такового не
> отличается.

У меня задача сейчас состоит в следующем:

1. Сделать nat для внутренней сети состоящей из подсетей 192.168.10.0/24 + 192.168.53.0/24 + ...  одним определённым внешним адресом, скажем IP1 из подсети внешних адресов выданных провайдером.
2. Сделать статический nat для ip-адреса vpn устройства 192.168.14.2 вторым IP2 из подсети внешних адресов выданных провайдером.
3. Настроить маршрутизацию между внутренними подсетями, указанными в пункте 1.

При конфигурировании статического ната на Cisco 2621xm возникла проблема, заключающаяся в том, что
ip nat inside source static 192.168.14.2 interface FastEthernet0/0.9 - Работает
ip nat inside source static 192.168.14.2 IP2 - не работает, на интерфейсе Fa0/0.9 при этом IP1.

Далее, я создал такой конфиг и мне бы хотелось понять заранее, в чём моя ошибка в конфигурировании статического ната и заработает ли мой конфиг (устройство сейчас задействовано для пункта 2 и ничего более на нём не настроено):

!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname GW1
!
boot-start-marker
boot system flash:cisco/c2600-is-mz.123-9.bin
boot-end-marker
!
no logging on
enable secret 5 ***
enable password 7 ***
!
clock timezone Moscow 3
no network-clock-participate slot 1
no network-clock-participate wic 0
no aaa new-model
ip subnet-zero
no ip cef
!
!
ip name-server 192.168.10.101
!
!
!
!
!
interface FastEthernet0/0
ip address 192.168.10.254 255.255.255.0
ip nat inside
!
interface FastEthernet0/1
no ip address
speed auto
full-duplex
!
interface FastEthernet0/1.2
encapsulation dot1Q 2
ip address 10.2.246.100 255.255.255.240
!
interface FastEthernet0/1.7
encapsulation dot1Q 7
ip address 192.168.53.245 255.255.255.248
!
interface FastEthernet0/1.9
encapsulation dot1Q 9
ip address IP0 255.255.255.240
ip access-group External in
no cdp enable
ip nat outside
!
interface FastEthernet0/1.14
description To_VPN_BOX
encapsulation dot1Q 14
ip address 192.168.14.1 255.255.255.0
ip nat inside
!
interface Serial0/1
shutdown
!
interface Serial0/0
shutdown
!
!
ip nat pool Internet IP1 IP1 netmask 255.255.255.240
ip nat inside source list NAT pool Internet overload
ip nat inside source static 192.168.14.2 IP2
!
no ip http server
ip classless
!
ip route 0.0.0.0 0.0.0.0 <ISP GW>
ip route 192.168.53.0 255.255.255.0 192.168.53.246
ip route 192.168.51.0 255.255.255.0 192.168.53.246
ip route 192.168.151.0 255.255.255.0 192.168.53.246
ip route 192.168.32.0 255.255.255.0 192.168.53.246
ip route 10.2.14.104 255.255.255.255 10.2.246.97
ip route 10.2.14.95 255.255.255.255 10.2.246.97
ip route 10.2.254.242 255.255.255.255 10.2.246.97
!
ip access-list extended NAT
deny 192.168.10.0 0.0.0.255 <ISP net> 0.0.0.15
permit 192.168.10.0 0.0.0.255 any
permit 192.168.53.0 0.0.0.255 any
!
ip access-list extendet External
permit tcp any any established
permit icmp any any echo-reply
permit udp any eq domain any
permit udp any eq ntp any
deny ip any any
!
logging trap debugging
!
!
!
!
!
!
!
line con 0
password 7 ***
line aux 0
line vty 0 4
password 7 ***
login
line vty 5 15
password 7 ***
login
!
ntp clock-period 17180294
ntp server 192.168.10.101
!
end

Привожу конфиг полностью, который работает сейчас:

!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname GW1
!
boot-start-marker
boot system flash:cisco/c2600-is-mz.123-9.bin
boot-end-marker
!
no logging on
enable secret 5 ***
enable password 7 ***
!
clock timezone Moscow 3
no network-clock-participate slot 1
no network-clock-participate wic 0
no aaa new-model
ip subnet-zero
no ip cef
!
!
ip name-server 8.8.8.8
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
no ip address
speed auto
full-duplex
!
interface FastEthernet0/0.9
encapsulation dot1Q 9
ip address <IP2> 255.255.255.240
ip nat outside
!
interface FastEthernet0/0.14
encapsulation dot1Q 14
ip address 192.168.14.1 255.255.255.0
ip nat inside
!
interface Serial0/0
no ip address
shutdown
no cdp enable
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface Serial0/1
no ip address
shutdown
no cdp enable
!
ip nat inside source static 192.168.14.2 interface FastEthernet0/0.9
no ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 <ISP GW>
!
!
logging trap debugging
!
!
!
!
!
!
!
line con 0
password 7 ***
line aux 0
line vty 0 4
password 7 ***
login
line vty 5 15
password 7 ***
login
!
ntp clock-period 17180303
ntp server 192.168.10.101
!
end

> ip access-list extendet External
>  permit tcp any any established
>  permit icmp any any echo-reply
>  permit udp any eq domain any
>  permit udp any eq ntp any
>  deny ip any any

с таким листом vpn не заработает.

>> ip access-list extendet External
>>  permit tcp any any established
>>  permit icmp any any echo-reply
>>  permit udp any eq domain any
>>  permit udp any eq ntp any
>>  deny ip any any
> с таким листом vpn не заработает.

Да, я его доработал, сейчас работает вот так (это скорее указание провайдера vpn канала):

permit tcp any any established
permit icmp any any echo-reply
permit udp any eq domain any
permit udp any eq ntp any
permit udp any eq isakmp host <vpn server1> eq isakmp
permit udp host <vpn server1> isakmp any eq isakmp
permit udp any eq isakmp host <vpn server2> eq isakmp
permit udp host <vpn server2> eq isakmp any eq isakmp
permit udp any eq isakmp host <vpn server3> eq isakmp
permit udp host <vpn server3> eq isakmp any eq isakmp
deny ip any any

Но у меня теперь проблема в том, что при
ip nat inside source static 192.168.14.2 IP2
перестаёт работать роутинг в подсеть провайдера. Вы видели, что я не хочу натить адреса локальной сети в подсеть провайдера, но т.к. роутинг туда не работает при настроенном статическом NAT, то пакеты туда вообще не попадают, если есть запись в ACL для NAT
deny 192.168.10.0 0.0.0.255 <ISP net> 0.0.0.15
Во все остальные сети, в том числе и интернет трафик идёт.

> Да, я его доработал, сейчас работает вот так (это скорее указание провайдера
> vpn канала):
>  permit udp any eq isakmp host <vpn server1> eq isakmp
>  permit udp host <vpn server1> isakmp any eq isakmp
>  permit udp any eq isakmp host <vpn server2> eq isakmp
>  permit udp host <vpn server2> eq isakmp any eq isakmp
>  permit udp any eq isakmp host <vpn server3> eq isakmp
>  permit udp host <vpn server3> eq isakmp any eq isakmp

явно здесь 3 строчки лишние

> Но у меня теперь проблема в том, что при
> ip nat inside source static 192.168.14.2 IP2
> перестаёт работать роутинг в подсеть провайдера. Вы видели, что я не хочу
> натить адреса локальной сети в подсеть провайдера,

не совсем понимаю. Что значит не хотите натить в подсеть провайдера, если IP2 находится в той же подсети, что и адрес на вашем интерфейсе в сторону провайдера.

>[оверквотинг удален]
>>  permit udp any eq isakmp host <vpn server3> eq isakmp
>>  permit udp host <vpn server3> eq isakmp any eq isakmp
> явно здесь 3 строчки лишние
>> Но у меня теперь проблема в том, что при
>> ip nat inside source static 192.168.14.2 IP2
>> перестаёт работать роутинг в подсеть провайдера. Вы видели, что я не хочу
>> натить адреса локальной сети в подсеть провайдера,
> не совсем понимаю. Что значит не хотите натить в подсеть провайдера, если
> IP2 находится в той же подсети, что и адрес на вашем
> интерфейсе в сторону провайдера.

Самое начало ветки.

Вчера всё перебрал аккуратно и нат, который мне нужне был заработал. (it's magic!).
Скорее всего затык был в ACL External. А может и гдё-то на свичах у нас. Сейчас работает конфигурация вот эта:

!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname GW1
!
boot-start-marker
boot system flash:cisco/c2600-is-mz.123-9.bin
boot-end-marker
!
no logging on
enable secret 5 *
enable password 7 *
!
clock timezone Moscow 3
no network-clock-participate slot 1
no network-clock-participate wic 0
no aaa new-model
ip subnet-zero
no ip cef
!
!
ip name-server 8.8.8.8
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
no ip address
speed auto
full-duplex
!
interface FastEthernet0/0.9
encapsulation dot1Q 9
ip address 1.2.3.114 255.255.255.240
ip access-group External in
ip nat outside
!
interface FastEthernet0/0.14
encapsulation dot1Q 14
ip address 192.168.14.1 255.255.255.0
ip nat inside
!
interface Serial0/0
no ip address
shutdown
no cdp enable
!
interface FastEthernet0/1
ip address 192.168.10.254 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface Serial0/1
no ip address
shutdown
no cdp enable
!
ip nat pool Internet 1.2.3.115 1.2.3.115 netmask 255.255.255.240
ip nat inside source list NAT pool Internet overload
ip nat inside source static 192.168.14.2 1.2.3.116
no ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 1.2.3.113 - <ISP GW>
!
!
!
ip access-list extended External
permit tcp any any established
permit udp any eq domain any
permit udp any eq ntp any
permit icmp any any
permit udp host <vpn server1> eq isakmp any eq isakmp
permit udp host <vpn server2> eq isakmp any eq isakmp
permit udp host <vpn server3> eq isakmp any eq isakmp
deny   ip any any
ip access-list extended NAT
deny   ip 192.168.10.0 0.0.0.255 1.2.3.112 0.0.0.15
permit ip 192.168.10.0 0.0.0.255 any
logging trap debugging
!
!
!
!
!
!
!
line con 0
password 7 ***
line aux 0
line vty 0 4
password 7 ***
login
line vty 5 15
password 7 ***
login
!
ntp clock-period 17180305
ntp server 192.168.10.101
!
end

И статический нат работает и динамический, и из сети 192.168.10.0 траффик ходит не натясь.

Есть ещё один глупый вопрос - в ACL External для vpn соединения
permit udp host <vpn server1> eq isakmp any eq isakmp
any мне нужно заменить адресом, которым натится хост 192.168.14.2, правильно?

>[оверквотинг удален]
>>  permit udp any eq isakmp host <vpn server3> eq isakmp
>>  permit udp host <vpn server3> eq isakmp any eq isakmp
> явно здесь 3 строчки лишние
>> Но у меня теперь проблема в том, что при
>> ip nat inside source static 192.168.14.2 IP2
>> перестаёт работать роутинг в подсеть провайдера. Вы видели, что я не хочу
>> натить адреса локальной сети в подсеть провайдера,
> не совсем понимаю. Что значит не хотите натить в подсеть провайдера, если
> IP2 находится в той же подсети, что и адрес на вашем
> интерфейсе в сторону провайдера.

оставил вот так:
permit udp host <vpn server3> eq isakmp any eq isakmp
permit udp host <vpn server2> eq isakmp any eq isakmp
permit udp host <vpn server1> isakmp any eq isakmp