https://opennet.ru/openforum/vsluhforumID6/22546.html Вопрос есть по Cisco 2621xm<br><br>Есть локальная сеть в подсети 192.168.1.0/24 в своём vlan. Есть подсеть внешних ip от провайдера, в которых расположены почта, веб и т.п. в своём vlan. Как на устройстве Cisco 2621xm сделать такой NAT, который бы закрывал одним внешним ip внутреннюю сеть, но доступ к mail и web в подсети провайдера был бы по оригинальным адресам (192.168.10.0/24)?<br> https://opennet.ru/openforum/vsluhforumID6/22546.html#31 Fri, 29 Apr 2011 05:34:53 GMT &gt;[оверквотинг удален]<br>&gt;&gt; permit udp any eq isakmp host &lt;vpn server3&gt; eq isakmp <br>&gt;&gt; permit udp host &lt;vpn server3&gt; eq isakmp any eq isakmp <br>&gt; явно здесь 3 строчки лишние <br>&gt;&gt; Но у меня теперь проблема в том, что при <br>&gt;&gt; ip nat inside source static 192.168.14.2 IP2 <br>&gt;&gt; перестаёт работать роутинг в подсеть провайдера. Вы видели, что я не хочу <br>&gt;&gt; натить адреса локальной сети в подсеть провайдера, <br>&gt; не совсем понимаю. Что значит не хотите натить в подсеть провайдера, если <br>&gt; IP2 находится в той же подсети, что и адрес на вашем <br>&gt; интерфейсе в сторону провайдера.<br><br>оставил вот так:<br>permit udp host &lt;vpn server3&gt; eq isakmp any eq isakmp <br>permit udp host &lt;vpn server2&gt; eq isakmp any eq isakmp <br>permit udp host &lt;vpn server1&gt; isakmp any eq isakmp<br><br> https://opennet.ru/openforum/vsluhforumID6/22546.html#30 Fri, 29 Apr 2011 05:07:37 GMT &gt;[оверквотинг удален]<br>&gt;&gt; permit udp any eq isakmp host &lt;vpn server3&gt; eq isakmp <br>&gt;&gt; permit udp host &lt;vpn server3&gt; eq isakmp any eq isakmp <br>&gt; явно здесь 3 строчки лишние <br>&gt;&gt; Но у меня теперь проблема в том, что при <br>&gt;&gt; ip nat inside source static 192.168.14.2 IP2 <br>&gt;&gt; перестаёт работать роутинг в подсеть провайдера. Вы видели, что я не хочу <br>&gt;&gt; натить адреса локальной сети в подсеть провайдера, <br>&gt; не совсем понимаю. Что значит не хотите натить в подсеть провайдера, если <br>&gt; IP2 находится в той же подсети, что и адрес на вашем <br>&gt; интерфейсе в сторону провайдера.<br><br>Самое начало ветки.<br><br>Вчера всё перебрал аккуратно и нат, который мне нужне был заработал. (it's magic!). <br>Скорее всего затык был в ACL External. А может и гдё-то на свичах у нас. Сейчас работает конфигурация вот эта:<br><br><br>!<br>version 12.3<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>service password-encryption<br>!<br>hostname GW1<br>!<br>boot-start-marker<br>boot system flash:cisco/c2600-is-mz.123-9.bin<br>boot-end- https://opennet.ru/openforum/vsluhforumID6/22546.html#29 Fri, 29 Apr 2011 01:39:44 GMT &gt; Да, я его доработал, сейчас работает вот так (это скорее указание провайдера <br>&gt; vpn канала): <br>&gt; permit udp any eq isakmp host &lt;vpn server1&gt; eq isakmp <br>&gt; permit udp host &lt;vpn server1&gt; isakmp any eq isakmp <br>&gt; permit udp any eq isakmp host &lt;vpn server2&gt; eq isakmp <br>&gt; permit udp host &lt;vpn server2&gt; eq isakmp any eq isakmp <br>&gt; permit udp any eq isakmp host &lt;vpn server3&gt; eq isakmp <br>&gt; permit udp host &lt;vpn server3&gt; eq isakmp any eq isakmp <br><br>явно здесь 3 строчки лишние<br><br>&gt; Но у меня теперь проблема в том, что при <br>&gt; ip nat inside source static 192.168.14.2 IP2 <br>&gt; перестаёт работать роутинг в подсеть провайдера. Вы видели, что я не хочу <br>&gt; натить адреса локальной сети в подсеть провайдера,<br><br>не совсем понимаю. Что значит не хотите натить в подсеть провайдера, если IP2 находится в той же подсети, что и адрес на вашем интерфейсе в сторону провайдера.<br><br> https://opennet.ru/openforum/vsluhforumID6/22546.html#28 Thu, 28 Apr 2011 05:36:48 GMT &gt;&gt; ip access-list extendet External <br>&gt;&gt; permit tcp any any established <br>&gt;&gt; permit icmp any any echo-reply <br>&gt;&gt; permit udp any eq domain any <br>&gt;&gt; permit udp any eq ntp any <br>&gt;&gt; deny ip any any <br>&gt; с таким листом vpn не заработает.<br><br>Да, я его доработал, сейчас работает вот так (это скорее указание провайдера vpn канала):<br><br> permit tcp any any established<br> permit icmp any any echo-reply<br> permit udp any eq domain any<br> permit udp any eq ntp any<br> permit udp any eq isakmp host &lt;vpn server1&gt; eq isakmp<br> permit udp host &lt;vpn server1&gt; isakmp any eq isakmp<br> permit udp any eq isakmp host &lt;vpn server2&gt; eq isakmp<br> permit udp host &lt;vpn server2&gt; eq isakmp any eq isakmp<br> permit udp any eq isakmp host &lt;vpn server3&gt; eq isakmp<br> permit udp host &lt;vpn server3&gt; eq isakmp any eq isakmp<br> deny ip any any<br><br><br>Но у меня теперь проблема в том, что при<br>ip nat inside source static 192.168.14.2 IP2<br>перестаёт работать роутинг в подсеть провайдера. Вы видели, что я не хочу натить адреса локальной сети в подсеть провайдера, https://opennet.ru/openforum/vsluhforumID6/22546.html#27 Thu, 28 Apr 2011 01:36:54 GMT &gt; ip access-list extendet External <br>&gt; permit tcp any any established <br>&gt; permit icmp any any echo-reply <br>&gt; permit udp any eq domain any <br>&gt; permit udp any eq ntp any <br>&gt; deny ip any any <br><br>с таким листом vpn не заработает.<br> https://opennet.ru/openforum/vsluhforumID6/22546.html#26 Wed, 27 Apr 2011 13:44:57 GMT &gt;&gt; Я бы и не хотел, чтобы с циски трафик шёл через нат, <br>&gt;&gt; как я понимаю интерфейс уходит во владение NAT и для других <br>&gt;&gt; целей я его не смогу использовать?<br>&gt; для каких других?<br>&gt; интерфейс с натом ничем (кроме самого ната) от интерфейса без такового не <br>&gt; отличается.<br><br>У меня задача сейчас состоит в следующем:<br><br>1. Сделать nat для внутренней сети состоящей из подсетей 192.168.10.0/24 + 192.168.53.0/24 + ... одним определённым внешним адресом, скажем IP1 из подсети внешних адресов выданных провайдером.<br>2. Сделать статический nat для ip-адреса vpn устройства 192.168.14.2 вторым IP2 из подсети внешних адресов выданных провайдером.<br>3. Настроить маршрутизацию между внутренними подсетями, указанными в пункте 1.<br><br>При конфигурировании статического ната на Cisco 2621xm возникла проблема, заключающаяся в том, что<br>ip nat inside source static 192.168.14.2 interface FastEthernet0/0.9 - Работает<br>ip nat inside source static 192.168.14.2 IP2 - не работает, на интерфейсе Fa0/0.9 при этом IP1.<br><br><br><br>Далее, я со https://opennet.ru/openforum/vsluhforumID6/22546.html#25 Wed, 27 Apr 2011 12:55:08 GMT &gt; Я бы и не хотел, чтобы с циски трафик шёл через нат, <br>&gt; как я понимаю интерфейс уходит во владение NAT и для других <br>&gt; целей я его не смогу использовать?<br><br>для каких других?<br>интерфейс с натом ничем (кроме самого ната) от интерфейса без такового не отличается.<br><br> https://opennet.ru/openforum/vsluhforumID6/22546.html#24 Wed, 27 Apr 2011 12:50:55 GMT &gt;&gt; Принципиальное отличие мне бы хотелось понять в самом механизме NAT в этих <br>&gt;&gt; случаях. Например сейчас с самого устройства Cisco 2621xm внешние адреса не <br>&gt;&gt; пингуются, в том числе и шлюз ISP, а нат работает, vpn <br>&gt;&gt; пробрасывается по статическому NAT, связь есть.<br>&gt; а трафик с самой циски через нат не проходит, связи с натом <br>&gt; тут нет.<br><br>Я бы и не хотел, чтобы с циски трафик шёл через нат, как я понимаю интерфейс уходит во владение NAT и для других целей я его не смогу использовать?<br> https://opennet.ru/openforum/vsluhforumID6/22546.html#23 Wed, 27 Apr 2011 12:43:32 GMT &gt; Принципиальное отличие мне бы хотелось понять в самом механизме NAT в этих <br>&gt; случаях. Например сейчас с самого устройства Cisco 2621xm внешние адреса не <br>&gt; пингуются, в том числе и шлюз ISP, а нат работает, vpn <br>&gt; пробрасывается по статическому NAT, связь есть.<br><br>а трафик с самой циски через нат не проходит, связи с натом тут нет.<br><br>