https://opennet.dev/openforum/vsluhforumID6/1328.html Cisco 1841, раздаёт интернет + является одним из концов туннеля IPSec L2TP Site-to-Site VPN<br>(на другом конце TMG2010)<br><br>Проблема в том, что если я открываю порт для доступа из интернета:<br>ip nat inside source static tcp 192.168.25.193 8080 interface FastEthernet0/0 8080<br><br>из через туннель к этому порту уже не подключиться.<br><br><br>PS Есть ещё вторая проблема - не удаётся подключиться к 80-му порту в любом случае.<br>Но в конфиге циски он вообще нигде не упоминается, так что я не уверен, что дело в ней - может это TMG2010 поганит жизнь.<br><br>Конфиг вот:<br>http://pastebin.com/60s2k6YF<br><br>Пояснения к конфигу:<br>123.123.123.123 - IP-адрес "второго конца" VPN - того, где TMG 2010<br><br>456.456.456.456 - внешний IP-адрес на Cisco<br>456.456.456.1 - основной шлюз на Cisco<br><br><br>192.168.25.0 - внутренняя локальная сеть за Cisco<br><br>192.168.23.0 - внутренняя локальная сеть за TMG 2010<br> https://opennet.dev/openforum/vsluhforumID6/1328.html#12 Mon, 28 Apr 2014 04:28:32 GMT Есть возможность взять дополнительно к линку еще IP?<br> https://opennet.dev/openforum/vsluhforumID6/1328.html#11 Mon, 28 Apr 2014 04:22:18 GMT &gt; ip nat inside source static tcp 10.x.x.x 22 y.y.y.y 22 route-map RM_NO_NAT <br>&gt; extendable <br><br>а, блин, у тебя же interface там, route-map не даст указать...<br> https://opennet.dev/openforum/vsluhforumID6/1328.html#10 Mon, 28 Apr 2014 04:16:05 GMT &gt;&gt;&gt; Доступ к серверу пропадает по какому адресу?<br>&gt;&gt; По внутреннему, и только на этот опубликованные порты - например 192.168.25.193:8080 <br>&gt; Проверь наличие трансляций. Скорее всего они там будут.<br>&gt; Для предотвращения тебе к натам нужно будет привесить route-map, в котором исключается <br>&gt; внутренний траффик.<br><br>Вот так (исправь на свой вариант):<br><br>ip access-list extended NO-NAT<br> deny ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255<br> permit ip any any<br><br>route-map RM_NO_NAT permit 10<br> match ip address NO-NAT<br><br>ip nat inside source static tcp 10.x.x.x 22 y.y.y.y 22 route-map RM_NO_NAT extendable<br> https://opennet.dev/openforum/vsluhforumID6/1328.html#9 Sun, 27 Apr 2014 17:23:43 GMT &gt;[оверквотинг удален]<br>&gt; В одной из них (192.168.25.0/24) есть сервер (192.168.25.193:8080).<br>&gt; К нему нужен доступ из обоих локалок и из интернета.<br>&gt; Сервер доступен из обоих локалок.<br>&gt; Но как только я публикую сервер в интернете, из локалки, которая ЗА <br>&gt; VPN доступ пропадает.<br>&gt; Публикую так: <br>&gt; ip nat inside source static tcp 192.168.25.193 8080 interface FastEthernet0/0 8080 <br>&gt; Вот картинка: <br>&gt; http://www.gliffy.com/go/publish/5663592 <br>&gt; PS На циске два провайдера, но используется только один, который fe0/0 456.46.456.456 <br><br>Не пробовал делать статический NAT с указанием белого адреса, а не интерфейса?<br>ip nat inside source static tcp 192.168.25.193 8080 456.46.456.456 8080 <br> <br><br><br> https://opennet.dev/openforum/vsluhforumID6/1328.html#8 Sun, 27 Apr 2014 03:58:35 GMT &gt;&gt; Доступ к серверу пропадает по какому адресу?<br>&gt; По внутреннему, и только на этот опубликованные порты - например 192.168.25.193:8080 <br><br>Проверь наличие трансляций. Скорее всего они там будут.<br>Для предотвращения тебе к натам нужно будет привесить route-map, в котором исключается внутренний траффик.<br> https://opennet.dev/openforum/vsluhforumID6/1328.html#7 Sat, 26 Apr 2014 12:49:19 GMT &gt; Доступ к серверу пропадает по какому адресу?<br><br>По внутреннему, и только на этот опубликованные порты - например 192.168.25.193:8080<br> https://opennet.dev/openforum/vsluhforumID6/1328.html#6 Sat, 26 Apr 2014 11:43:42 GMT &gt; Пакет должен идти так: <br>&gt; 192.168.23.2 (клиент) -&gt; 192.168.23.1 (TMG2010 внутренний интерфейс) -&gt; VPN-канал -&gt; 192.168.25.1 <br>&gt; (Cisco) -&gt; 192.168.25.193:8080 (сервер) <br>&gt; ловил пакеты Wireshark-ом и не поймал.<br>&gt; То есть они до сервера и не доходят.<br>&gt; Видать где-то циска их отфильтровывает.<br><br>Sho ip nat trans &#124; inc 8080<br>Во время когда пытаешься подключиться<br> https://opennet.dev/openforum/vsluhforumID6/1328.html#5 Sat, 26 Apr 2014 11:34:28 GMT &gt;[оверквотинг удален]<br>&gt;&gt; соединение? С каким адресом назначения? В какой интерфейс прилетает?<br>&gt; Пардон, поясняю: <br>&gt; Есть две локалки (192.168.23.0/24 и 192.168.25.0/24), соединённые site-to-site vpn.<br>&gt; В одной из них (192.168.25.0/24) есть сервер (192.168.25.193:8080).<br>&gt; К нему нужен доступ из обоих локалок и из интернета.<br>&gt; Сервер доступен из обоих локалок.<br>&gt; Но как только я публикую сервер в интернете, из локалки, которая ЗА <br>&gt; VPN доступ пропадает.<br>&gt; Публикую так: <br>&gt; ip nat inside source static tcp 192.168.25.193 8080 interface FastEthernet0/0 8080 <br><br>Доступ к серверу пропадает по какому адресу?<br><br><br> https://opennet.dev/openforum/vsluhforumID6/1328.html#4 Fri, 25 Apr 2014 13:25:08 GMT Пакет должен идти так:<br>192.168.23.2 (клиент) -&gt; 192.168.23.1 (TMG2010 внутренний интерфейс) -&gt; VPN-канал -&gt; 192.168.25.1 (Cisco) -&gt; 192.168.25.193:8080 (сервер)<br>ловил пакеты Wireshark-ом и не поймал.<br>То есть они до сервера и не доходят.<br>Видать где-то циска их отфильтровывает.<br><br><br>