форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Обойти nat inside для пакетов из туннеля"

Сообщение от kris on 18-Июн-08, 14:04

Добрый день. У меня настроен тунель между двумя маршрутизаторами и таким образом обьеденены две удаленные подсети. Столкнулся с такой проблемой --- если у меня настроен NAT для публикации порта во внешний мир (ip nat inside source static tcp loc_ip 443 interface outside_int 443)   То этот порт (443) недоступен внутри тунеля. Куда дальше двигаться ? Как обойти попадание пакетов под ip nat inside source static tcp loc_ip 443 interface outside_int 443 если они идут изнутри туннеля ?

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Обойти nat inside для пакетов из туннеля"

Сообщение от SergTel (ok) on 18-Июн-08, 14:29

>Добрый день. У меня настроен тунель между двумя маршрутизаторами и таким образом >обьеденены две удаленные подсети. >Столкнулся с такой проблемой --- если у меня настроен NAT для публикации >порта во внешний мир >(ip nat inside source static tcp loc_ip 443 interface outside_int 443) >То этот порт (443) недоступен внутри тунеля. >Куда дальше двигаться ? Как обойти попадание пакетов под ip nat inside >source static tcp loc_ip 443 interface outside_int 443 если они идут >изнутри туннеля ? Акцес на запрет пакетов из туннеля в НАТ

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Обойти nat inside для пакетов из туннеля"

Сообщение от SergTel (ok) on 18-Июн-08, 14:36

>Добрый день. У меня настроен тунель между двумя маршрутизаторами и таким образом >обьеденены две удаленные подсети. >Столкнулся с такой проблемой --- если у меня настроен NAT для публикации >порта во внешний мир >(ip nat inside source static tcp loc_ip 443 interface outside_int 443) >То этот порт (443) недоступен внутри тунеля. >Куда дальше двигаться ? Как обойти попадание пакетов под ip nat inside >source static tcp loc_ip 443 interface outside_int 443 если они идут >изнутри туннеля ? вот ссылка про твою проблему http://www.ciscolab.ru/2007/07/22/ipsec_router_nat.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Обойти nat inside для пакетов из туннеля"
	Сообщение от kris on 18-Июн-08, 16:34
	>[оверквотинг удален] >>Столкнулся с такой проблемой --- если у меня настроен NAT для публикации >>порта во внешний мир >>(ip nat inside source static tcp loc_ip 443 interface outside_int 443) >>То этот порт (443) недоступен внутри тунеля. >>Куда дальше двигаться ? Как обойти попадание пакетов под ip nat inside >>source static tcp loc_ip 443 interface outside_int 443 если они идут >>изнутри туннеля ? > >вот ссылка про твою проблему >http://www.ciscolab.ru/2007/07/22/ipsec_router_nat.html Огромное спасибо SergTel за ссылку. Попробую и отпишусь о результате ....
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Обойти nat inside для пакетов из туннеля"
	Сообщение от kris on 18-Июн-08, 19:10
	>[оверквотинг удален] >>>(ip nat inside source static tcp loc_ip 443 interface outside_int 443) >>>То этот порт (443) недоступен внутри тунеля. >>>Куда дальше двигаться ? Как обойти попадание пакетов под ip nat inside >>>source static tcp loc_ip 443 interface outside_int 443 если они идут >>>изнутри туннеля ? >> >>вот ссылка про твою проблему >>http://www.ciscolab.ru/2007/07/22/ipsec_router_nat.html > >Огромное спасибо SergTel за ссылку. Попробую и отпишусь о результате .... В статье описан метод, когда приходится все порты натить на определенный внутренний IP. ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat А как сделать то же, но натить не все порты, а только определенные ? Допустим 25-й и 110-й на один внутренний IP,а 389-й на другой ? Добавить route-map в ip nat inside source static tcp loc_ip 443 interface outside_int 443 не получается ...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Обойти nat inside для пакетов из туннеля"
	Сообщение от kris on 18-Июн-08, 19:18
	>[оверквотинг удален] > >В статье описан метод, когда приходится все порты натить на определенный внутренний >IP. >ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat >А как сделать то же, но натить не все порты, а только >определенные ? Допустим 25-й и 110-й на один внутренний IP,а 389-й >на другой ? >Добавить route-map в ip nat inside source static tcp loc_ip 443 interface >outside_int 443 >не получается ... Кроме того .... после  того, как включаем трансляцию по всем портам у меня пропадает возможность подключаться VPN клиентом у удаленных пользователей .... наверное из за того, что все пакеты по всем портам согласно ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat отправляются прямиком на внутренний хост в локальной сети.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Обойти nat inside для пакетов из туннеля"
	Сообщение от SergTel (ok) on 18-Июн-08, 20:51
	>>[оверквотинг удален] >> >>В статье описан метод, когда приходится все порты натить на определенный внутренний >>IP. >>ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat >>А как сделать то же, но натить не все порты, а только >>определенные ? Допустим 25-й и 110-й на один внутренний IP,а 389-й >>на другой ? ip nat inside source static 10.1.1.3 25 200.1.1.25 25 route-map nonat ext ip nat inside source static 10.1.1.3 110 200.1.1.25 100 route-map nonat ext ip nat inside source static 10.1.1.15 389 200.1.1.25 389 route-map nonat ext >>Добавить route-map в ip nat inside source static tcp loc_ip 443 interface >>outside_int 443 >>не получается ... ip nat inside source static tcp local-addr 443 public-addr 443 route-map name-rmap extendable > >Кроме того .... после  того, как включаем трансляцию по всем портам >у меня пропадает возможность подключаться VPN клиентом у удаленных пользователей .... >наверное из за того, что все пакеты по всем портам согласно >ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat отправляются прямиком Прочитай внимательно про технологии нат(пат) я сам разбирался после курсов долго, практиковался с книжками в руках зато тест потом сдал с 1 раза Везет у тебя все это впереди! Удачи!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Обойти nat inside для пакетов из туннеля"
	Сообщение от SergTel (ok) on 18-Июн-08, 20:56
	>[оверквотинг удален] > >В статье описан метод, когда приходится все порты натить на определенный внутренний >IP. >ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat >А как сделать то же, но натить не все порты, а только >определенные ? Допустим 25-й и 110-й на один внутренний IP,а 389-й >на другой ? >Добавить route-map в ip nat inside source static tcp loc_ip 443 interface >outside_int 443 >не получается ... конфиг кинь быстрее найдем ошибки
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Обойти nat inside для пакетов из туннеля"
	Сообщение от kris on 18-Июн-08, 23:41
	>[оверквотинг удален] >>IP. >>ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat >>А как сделать то же, но натить не все порты, а только >>определенные ? Допустим 25-й и 110-й на один внутренний IP,а 389-й >>на другой ? >>Добавить route-map в ip nat inside source static tcp loc_ip 443 interface >>outside_int 443 >>не получается ... > >конфиг кинь быстрее найдем ошибки Еще раз огромное спасибо. Удивительно, но после вашего первого ответа я пытался прописать ip nat inside source static tcp local-addr 443 public-addr 443 route-map name-rmap extendable/ но у меня не получалось добавить в конце route-map name-rmap extendable. Вообщем во второй раз все получилось :). Теперь у меня и клиенты подключаются и статический туннель работает и подсети корректно видны при условии внешнего НАТа :). Еще раз большое спасибо. Все получилось.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]