https://www.opennet.ru/openforum/vsluhforumID6/19131.html Доброе день цисководы.<br>Возникла ситуация.<br>Есть некий девайс который рулит VPN и к которому разрешён вход только с IP 10.0.6.30<br>Подсетей много поэтому на Unix было сделано правило <br>-A POSTROUTING -s 10.0.10.0/24 -d 190.160.90.0/24 -j SNAT --to 10.0.6.30<br><br>то есть шлюз просто подменял IP <br><br>Всё бы ничего но у меня ступор...<br>NAT в циско привязывается к интерфейсу inside outside. Интернет работает. Всё прекрасно.<br>А вот как подменить IP в цисаке я просто уже пол дня убиваюсь. Если делать например VLAN и врубать его в сеть то будет конфликт адресов с той машиной. К сожалению вариант смена IP на той машине не возможен. <br>Сопсно вопрос. А как подмена IP делается в cisco?<br> https://www.opennet.ru/openforum/vsluhforumID6/19131.html#13 Fri, 26 Jun 2009 09:01:13 GMT тема закрыта.<br>И исчо прежде чем отписаться на форуме я 3 дня потратил на прочтение мануалов и не найдя нужного направления обратился к форуму. Где сопсно заного сказали то, что уже прочитал.<br>Нужного решения до сих пор так и не нашёл. В итоге пришёл к выводу оис не такой гибкий как хотелось бы. И фигово то что нат физически привязан к портам. Сопсно поэтому тема и закрыта. Спасибо за внимание.<br> https://www.opennet.ru/openforum/vsluhforumID6/19131.html#12 Fri, 26 Jun 2009 08:37:25 GMT а меня порой удивляют люди ленивые до гугла...<br> https://www.opennet.ru/openforum/vsluhforumID6/19131.html#11 Fri, 26 Jun 2009 08:36:30 GMT это цитата (видно по тегам) примера двух натов на двух интерфейсах... или вы думали за вас будут писать нужный вам конфиг?<br> https://www.opennet.ru/openforum/vsluhforumID6/19131.html#10 Fri, 26 Jun 2009 08:11:38 GMT &gt;[оверквотинг удален]<br>&gt; match ip address 11 <br>&gt; match interface FastEthernet0 <br>&gt;! <br>&gt;route-map NAT-ISP2 permit 10 <br>&gt; match ip address 11 <br>&gt; match interface Dialer1 <br>&gt;! <br>&gt;ip nat inside source route-map NAT-ISP1 interface FastEthernet0 overload <br>&gt;ip nat inside source route-map NAT-ISP2 interface Dialer1 overload <br>&gt;[/quote] <br><br>от куда вылезло это match interface Dialer1 (диалер у меня нет модема)<br>и чёт вообще не понял.<br>Меня порой удивляют люди бросая кусок кода<br> https://www.opennet.ru/openforum/vsluhforumID6/19131.html#9 Fri, 26 Jun 2009 06:16:26 GMT на сколько мог понять требуется два ната?<br><br>[quote]<br>осталось занатить оба интерфейса соответствующими адресами:<br>access-list 11 permit 10.1.0.0 0.0.255.255<br>route-map NAT-ISP1 permit 10<br> match ip address 11<br> match interface FastEthernet0<br>!<br>route-map NAT-ISP2 permit 10<br> match ip address 11<br> match interface Dialer1<br>!<br>ip nat inside source route-map NAT-ISP1 interface FastEthernet0 overload<br>ip nat inside source route-map NAT-ISP2 interface Dialer1 overload<br>[/quote]<br> https://www.opennet.ru/openforum/vsluhforumID6/19131.html#8 Fri, 26 Jun 2009 06:11:05 GMT &gt;&gt;[оверквотинг удален]<br>&gt;ip local pool ippool1address 10.0.6.30 <br>&gt;<br>&gt;ip nat inside source list 111 pool ippool1address overload <br>&gt;<br>&gt;а так что тоже не дает задать адрес для трансляции? <br><br>хм..<br>в таком случаи на под интерфейс 0/0.6 <br>вешается Ip nat Outside <br>ip address 10.0.6.100 не меняется...<br><br>и при учёте что было написано выше...<br>получается что будет натится не под 100 IP а под 30?<br>или я чаго не понял?<br> https://www.opennet.ru/openforum/vsluhforumID6/19131.html#7 Fri, 26 Jun 2009 05:58:29 GMT &gt;[оверквотинг удален]<br>&gt;есть такая фишка НО. Если даже создать спецефичный порт Loopbаck 1 <br>&gt;10.0.6.30 роутер не даст создать его так как получается петля. Необходимо <br>&gt;Всех желающих кто хочет попасть за VPN устройство натить через IP <br>&gt;10.0.6.30 а желающих попасть в интернет из под сети 10.0.6.0 необходимо <br>&gt;роутить через х.x.x.151. <br>&gt;Соображения: <br>&gt;На интерфейс вместо 10.0.6.100 вешаем 10.0.6.30 делаем его ip nat OUTSIDE пишем <br>&gt;ACL для входа всех желающих. <br>&gt;Чтобы Юзвери выходили из сети 10.0.6.0 в интернет делать полный NAT на <br>&gt;этом интерфейсе (полное соответствие адресов). Пока мысли только такие. <br><br>ip local pool ippool1address 10.0.6.30<br><br>ip nat inside source list 111 pool ippool1address overload<br><br>а так что тоже не дает задать адрес для трансляции?<br> https://www.opennet.ru/openforum/vsluhforumID6/19131.html#6 Fri, 26 Jun 2009 04:18:49 GMT Схема такая<br>!<br>interface GigabitEthernet0/0.5<br> encapsulation dot1Q 5<br> ip address 10.0.5.100 255.255.255.0<br>Ip nat inside<br>!<br>Смотрит в сторону LAN (это один из под интерфейсов)<br><br>!<br>interface Vlan50<br> bandwidth 1024<br> ip address х.х.х.151 255.255.255.0<br> ip nat outside<br> ip route-cache flow<br>!<br>Смотрит в сторону Internet.<br>!<br>interface GigabitEthernet0/0.6<br> encapsulation dot1Q 6<br> ip address 10.0.6.100 255.255.255.0<br>!<br>Подсеть в которой находится VPN девайс.<br><br>VPN девайс пускает тока IP 10.0.6.30 Это реально существующая машина. На линуксе дело было проще Подменяли адрес на 10.0.6.30. На циске думал тоже есть такая фишка НО. Если даже создать спецефичный порт Loopbаck 1 10.0.6.30 роутер не даст создать его так как получается петля. Необходимо Всех желающих кто хочет попасть за VPN устройство натить через IP 10.0.6.30 а желающих попасть в интернет из под сети 10.0.6.0 необходимо роутить через х.x.x.151.<br>Соображения:<br>На интерфейс вместо 10.0.6.100 вешаем 10.0.6.30 делаем его ip nat OUTSIDE пишем ACL дл https://www.opennet.ru/openforum/vsluhforumID6/19131.html#5 Fri, 26 Jun 2009 00:44:01 GMT &gt;[оверквотинг удален]<br>&gt;то есть шлюз просто подменял IP <br>&gt;<br>&gt;Всё бы ничего но у меня ступор... <br>&gt;NAT в циско привязывается к интерфейсу inside outside. Интернет работает. Всё прекрасно. <br>&gt;<br>&gt;А вот как подменить IP в цисаке я просто уже пол дня <br>&gt;убиваюсь. Если делать например VLAN и врубать его в сеть то <br>&gt;будет конфликт адресов с той машиной. К сожалению вариант смена IP <br>&gt;на той машине не возможен. <br>&gt;Сопсно вопрос. А как подмена IP делается в cisco? <br><br>Да, тяжело по описанию сообразить что куда и через что идет.<br>Как я понял:<br><br>access-list 111 permit ip 10.0.10.0 0.0.0.255 190.160.90.0 0.0.0.255<br>access-list 112 deny ip 10.0.10.0 0.0.0.255 190.160.90.0 0.0.0.255<br>access-list 112 permit ip 10.0.10.0 0.0.0.255 any<br><br>ip local pool ippool1address 10.0.6.30<br><br>ip nat inside source list 111 pool ippool1address overload<br><br><br>111 - лист правило для тех кто идет на впн девайс 190.160.90.0 0.0.0.255 -тут думаю стоит только один IP указать того девайса<br>112 - для всего остального<br>ну и с inside и outside ин