форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"хитрая настройка ACL для NAT"		+/–
Сообщение от Незнайка (ok) on 12-Май-09, 10:38
Добрый день,уважаемые коллеги! Есть 2811, которая стоит шлюзом для локалки, внутрь проброшен 53 порт DNS сервер, обслуживаюший внешние зоны. Также, на ней настроен EasyVPN. При подключении к VPN, клиенту назначается адрес, из локалки. Если ip nat inside source list NAT pool external overload то VPN работает корректно, но не работает DNS резолвинг снаружи Если ip nat inside source list 1 pool external overload то VPN работает не корректно, но работает DNS резолвинг снаружи А хочется что-бы работал и ВПН, и DNS резолвинг. Какие идеи? interface FastEthernet0/0.11 description connected to HQ LAN encapsulation dot1Q 11 ip address 192.168.0.1 255.255.255.0 ip access-group LAN_Firewall in ip flow ingress ip flow egress ip nat inside no ip virtual-reassembly no ip mroute-cache no cdp enable interface FastEthernet0/1 description connected to INTERNET ip address yyy.yyy.yyy.yyy 255.255.255.128 secondary ip address xxx.xxx.xxx.xxx 255.255.255.128 ip access-group Inet_Firewall.in in ip access-group Inet_Firewall.OUT out ip flow ingress ip flow egress ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable crypto map clientmap ip nat pool external xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx prefix-length 29 ip nat inside source static tcp 192.168.0.99 53 xxx.xxx.xxx.xxx 53 extendable ip nat inside source static udp 192.168.0.99 53 xxx.xxx.xxx.xxx 53 extendable access-list 1 permit 192.168.0.99 access-list 1 permit 192.168.0.100 access-list 1 permit 192.168.0.117 access-list 1 permit 192.168.0.72 access-list 1 permit 192.168.0.75 access-list 1 permit 192.168.0.78 access-list 1 permit 192.168.0.234 access-list 1 permit 192.168.0.254 access-list 1 permit 192.168.0.200 access-list 1 permit 192.168.0.170 access-list 1 permit 192.168.0.159 ip access-list extended NAT deny   ip any 192.168.0.0 0.0.255.255 log-input permit ip host 192.168.0.99 any permit ip host 192.168.0.100 any permit ip host 192.168.0.117 any permit ip host 192.168.0.72 any permit ip host 192.168.0.75 any permit ip host 192.168.0.78 any permit ip host 192.168.0.80 any permit ip host 192.168.0.234 any permit ip host 192.168.0.254 any permit ip host 192.168.0.200 any permit ip host 192.168.0.170 any permit ip host 192.168.0.159 any deny   ip any any log-input
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "хитрая настройка ACL для NAT"		+/–
Сообщение от CrAzOiD (ok) on 12-Май-09, 11:07
к VPN, клиенту назначается адрес, из локалки. Ваша ошибка именно в этом. Для VPN клиентов организуйте отдельную подсеть. Почему - попробуйте подумать
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "хитрая настройка ACL для NAT"		+/–
	Сообщение от Незнайка (ok) on 12-Май-09, 11:34
	>к VPN, клиенту назначается адрес, из локалки. >Ваша ошибка именно в этом. >Для VPN клиентов организуйте отдельную подсеть. >Почему - попробуйте подумать х.м. но почему тогда блокируя нат на внешнем интерфейсе, для пакетов которые идут из локалки в локалку, у меня все работает, а вот DNS перестает работать? P.S. вынос VPN-клиентов  в отдельную подсеть не помог
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "хитрая настройка ACL для NAT"		+/–
	Сообщение от MANG (ok) on 12-Май-09, 14:34
	Не нужно натить пакеты, в сеть, что предназначена для ВПН.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "хитрая настройка ACL для NAT"		+/–
	Сообщение от Незнайка (ok) on 12-Май-09, 14:39
	>Не нужно натить пакеты, в сеть, что предназначена для ВПН. спасибо! это я понял уже,и создал ACL: ip access-list extended NAT но как мне в этом правиле решить проблему с DNS сервером, или как в access-list 1 не натить пакеты к ВПН клиентам
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "хитрая настройка ACL для NAT"		+/–
	Сообщение от MANG (ok) on 12-Май-09, 16:47
	>>>как в access-list 1 не натить пакеты к ВПН клиентам deny from локальная сеть to сеть для ЦискоВПН в начале списка
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "хитрая настройка ACL для NAT"		+/–
	Сообщение от Незнайка (ok) on 12-Май-09, 16:49
	>>>>как в access-list 1 не натить пакеты к ВПН клиентам > >deny from локальная сеть to сеть для ЦискоВПН >в начале списка IP standard access list не поддерживает to сеть для ЦискоВПН
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "хитрая настройка ACL для NAT"		+/–
	Сообщение от MANG (ok) on 12-Май-09, 16:51
	>IP standard access list не поддерживает to сеть для ЦискоВПН Так сделай extended
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "хитрая настройка ACL для NAT"		+/–
	Сообщение от Незнайка (ok) on 12-Май-09, 16:55
	> >>IP standard access list не поддерживает to сеть для ЦискоВПН > >Так сделай extended х.м. собсно этим и занимался, когда отвечал. Все получилось, а теперь вопрос. Чем отличается access-list 111 от ip access-list extended NAT
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "хитрая настройка ACL для NAT"		+/–
	Сообщение от CrAzOiD (ok) on 12-Май-09, 17:09
	>Все получилось, а теперь вопрос. Чем отличается >access-list 111 от ip access-list extended NAT 1. Названием. Второй вариант это именованные ACL 2. Не все сервисы поддерживают именованные ACL все вроде
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]