forum.opennet.ru

Составление сообщения

Исходное сообщение

"хитрая настройка ACL для NAT"
Отправлено Незнайка, 12-Май-09 10:38

Добрый день,уважаемые коллеги!
Есть 2811, которая стоит шлюзом для локалки, внутрь проброшен 53 порт DNS сервер, обслуживаюший внешние зоны. Также, на ней настроен EasyVPN. При подключении к VPN, клиенту назначается адрес, из локалки.
Если
ip nat inside source list NAT pool external overload
то VPN работает корректно, но не работает DNS резолвинг снаружи
Если
ip nat inside source list 1 pool external overload
то VPN работает не корректно, но работает DNS резолвинг снаружи
А хочется что-бы работал и ВПН, и DNS резолвинг. Какие идеи?
interface FastEthernet0/0.11
description connected to HQ LAN
encapsulation dot1Q 11
ip address 192.168.0.1 255.255.255.0
ip access-group LAN_Firewall in
ip flow ingress
ip flow egress
ip nat inside
no ip virtual-reassembly
no ip mroute-cache
no cdp enable
interface FastEthernet0/1
description connected to INTERNET
ip address yyy.yyy.yyy.yyy 255.255.255.128 secondary
ip address xxx.xxx.xxx.xxx 255.255.255.128
ip access-group Inet_Firewall.in in
ip access-group Inet_Firewall.OUT out
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto map clientmap

ip nat pool external xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx prefix-length 29
ip nat inside source static tcp 192.168.0.99 53 xxx.xxx.xxx.xxx 53 extendable
ip nat inside source static udp 192.168.0.99 53 xxx.xxx.xxx.xxx 53 extendable

access-list 1 permit 192.168.0.99
access-list 1 permit 192.168.0.100
access-list 1 permit 192.168.0.117
access-list 1 permit 192.168.0.72
access-list 1 permit 192.168.0.75
access-list 1 permit 192.168.0.78
access-list 1 permit 192.168.0.234
access-list 1 permit 192.168.0.254
access-list 1 permit 192.168.0.200
access-list 1 permit 192.168.0.170
access-list 1 permit 192.168.0.159
ip access-list extended NAT
deny ip any 192.168.0.0 0.0.255.255 log-input
permit ip host 192.168.0.99 any
permit ip host 192.168.0.100 any
permit ip host 192.168.0.117 any
permit ip host 192.168.0.72 any
permit ip host 192.168.0.75 any
permit ip host 192.168.0.78 any
permit ip host 192.168.0.80 any
permit ip host 192.168.0.234 any
permit ip host 192.168.0.254 any
permit ip host 192.168.0.200 any
permit ip host 192.168.0.170 any
permit ip host 192.168.0.159 any
deny ip any any log-input

Исходное сообщение
"хитрая настройка ACL для NAT" Отправлено Незнайка, 12-Май-09 10:38
Добрый день,уважаемые коллеги! Есть 2811, которая стоит шлюзом для локалки, внутрь проброшен 53 порт DNS сервер, обслуживаюший внешние зоны. Также, на ней настроен EasyVPN. При подключении к VPN, клиенту назначается адрес, из локалки. Если ip nat inside source list NAT pool external overload то VPN работает корректно, но не работает DNS резолвинг снаружи Если ip nat inside source list 1 pool external overload то VPN работает не корректно, но работает DNS резолвинг снаружи А хочется что-бы работал и ВПН, и DNS резолвинг. Какие идеи? interface FastEthernet0/0.11 description connected to HQ LAN encapsulation dot1Q 11 ip address 192.168.0.1 255.255.255.0 ip access-group LAN_Firewall in ip flow ingress ip flow egress ip nat inside no ip virtual-reassembly no ip mroute-cache no cdp enable interface FastEthernet0/1 description connected to INTERNET ip address yyy.yyy.yyy.yyy 255.255.255.128 secondary ip address xxx.xxx.xxx.xxx 255.255.255.128 ip access-group Inet_Firewall.in in ip access-group Inet_Firewall.OUT out ip flow ingress ip flow egress ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable crypto map clientmap ip nat pool external xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx prefix-length 29 ip nat inside source static tcp 192.168.0.99 53 xxx.xxx.xxx.xxx 53 extendable ip nat inside source static udp 192.168.0.99 53 xxx.xxx.xxx.xxx 53 extendable access-list 1 permit 192.168.0.99 access-list 1 permit 192.168.0.100 access-list 1 permit 192.168.0.117 access-list 1 permit 192.168.0.72 access-list 1 permit 192.168.0.75 access-list 1 permit 192.168.0.78 access-list 1 permit 192.168.0.234 access-list 1 permit 192.168.0.254 access-list 1 permit 192.168.0.200 access-list 1 permit 192.168.0.170 access-list 1 permit 192.168.0.159 ip access-list extended NAT deny ip any 192.168.0.0 0.0.255.255 log-input permit ip host 192.168.0.99 any permit ip host 192.168.0.100 any permit ip host 192.168.0.117 any permit ip host 192.168.0.72 any permit ip host 192.168.0.75 any permit ip host 192.168.0.78 any permit ip host 192.168.0.80 any permit ip host 192.168.0.234 any permit ip host 192.168.0.254 any permit ip host 192.168.0.200 any permit ip host 192.168.0.170 any permit ip host 192.168.0.159 any deny ip any any log-input

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру