https://slinkov.ru/openforum/vsluhforumID6/994.html Здравствуйте, помогите решить проблему пожалуйста...<br><br>Cisco 891 <br><br>подключение pppoe со статическим адресом x.x.x.x (Dialer1)<br>Есть хост на этом интерфейсе: <br>interface Vlan3<br> ip address 172.16.1.53 255.255.255.252<br> ip nat inside<br><br><br>настроен 1to1 static nat:<br>ip nat inside source static 172.16.1.54 x.x.x.x extendable<br><br><br>Необходимо помимо проброса на хост 172.16.1.54 всех портов терминировать еще и туннель на внешнем интерфейсе.<br><br>Настройка туннеля:<br>interface Tunnel0<br> description === INET TUNNEL ===<br> ip address 172.16.1.62 255.255.255.252<br> tunnel source x.x.x.x<br> tunnel destination y.y.y.y<br><br><br>Туннель не поднимается, я так понимаю потомучто все пакеты натятся на внутренний хост. <br>Как только я убираю нат - туннель сразу поднимается.<br><br>Как можно реализовать данный функционал?<br>Не могу найти как можно исключить из статической трансляции ip адрес.<br><br><br> https://slinkov.ru/openforum/vsluhforumID6/994.html#5 Fri, 04 Oct 2013 16:25:15 GMT Добрый день.<br><br>Проблема в том, что при попадании на outside интерфейс любого пакета (в т.ч. GRE) срабатывает статическая трансляция.<br>Т.о. Ваша задача исключить такую ситуацию, например, так:<br><br>ip access-list extended NOGRE<br> deny gre any any &lt;- это запрещает NAT GRE<br> &lt;добавляете в deny прочие порты, которые должны остаться на локальном роутере&gt; <br> permit ip any any<br><br>route-map NAT1 permit 10<br> match ip address NOGRE<br>route-map NAT1 deny 20<br>&lt;или пишете здесь другие трансляции&gt;<br><br>ip nat inside source static 10.0.12.1 10.0.23.2 route-map NAT1 reversible<br> https://slinkov.ru/openforum/vsluhforumID6/994.html#4 Fri, 04 Oct 2013 11:19:30 GMT &gt;&gt; Туннель не поднимается, я так понимаю потомучто все пакеты натятся на внутренний <br>&gt;&gt; хост.<br>&gt;&gt; Как только я убираю нат - туннель сразу поднимается.<br>&gt;&gt; Как можно реализовать данный функционал?<br>&gt;&gt; Не могу найти как можно исключить из статической трансляции ip адрес.<br>&gt; либо брать у провайдера еще адрес, либо выбирать между статик и динамик <br>&gt; натом <br>&gt; как можно транслировать ip в ip, но при этом из него отобрать <br>&gt; у клиента GRE на туннель?<br><br>Есть такая статья...<br>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080094634.shtml<br>Я думал можно исключить из статик трансляции адрес удаленного роутера..<br>Или я не правильно понял?<br> https://slinkov.ru/openforum/vsluhforumID6/994.html#3 Fri, 04 Oct 2013 11:10:02 GMT &gt;&gt; Туннель не поднимается, я так понимаю потомучто все пакеты натятся на внутренний <br>&gt;&gt; хост.<br>&gt;&gt; Как только я убираю нат - туннель сразу поднимается.<br>&gt;&gt; Как можно реализовать данный функционал?<br>&gt;&gt; Не могу найти как можно исключить из статической трансляции ip адрес.<br>&gt; либо брать у провайдера еще адрес, либо выбирать между статик и динамик <br>&gt; натом <br>&gt; как можно транслировать ip в ip, но при этом из него отобрать <br>&gt; у клиента GRE на туннель?<br><br>Ну может вам и не нужен 1:1, может несколько портов прокинуть, а гре не трогать?<br> https://slinkov.ru/openforum/vsluhforumID6/994.html#2 Fri, 04 Oct 2013 10:38:57 GMT &gt; Туннель не поднимается, я так понимаю потомучто все пакеты натятся на внутренний <br>&gt; хост.<br>&gt; Как только я убираю нат - туннель сразу поднимается.<br>&gt; Как можно реализовать данный функционал?<br>&gt; Не могу найти как можно исключить из статической трансляции ip адрес.<br><br>либо брать у провайдера еще адрес, либо выбирать между статик и динамик натом<br>как можно транслировать ip в ip, но при этом из него отобрать у клиента GRE на туннель? <br> https://slinkov.ru/openforum/vsluhforumID6/994.html#1 Fri, 04 Oct 2013 09:48:44 GMT забыл сказать если заменить <br>ip nat inside source static 172.16.1.54 x.x.x.x extendable<br>на <br>ip nat inside source list NAT-ACL interface Dialer1 overload <br><br>то все работает, кроме проброса всех портов<br><br><br>ip access-list extended NAT-ACL<br> permit ip 172.16.1.52 0.0.0.3 any <br>