OpenForum RSS: Настройка NAT на Cisco 881 с IPSec Tunel https://opennet.ru/openforum/vsluhforumID6/20551.html Есть два маршрутизатора Cisco 881 с IPSec тунелем. Маршрутизаторы обеспечивают сеть между двумя подразделениями. Сеть должна функционировать в обе стороны.<br><br>Маршрутизатор А: Смотрит в сеть с адресом 172.23.37.251, внутренний адрес 10.10.1.1<br>Маршрутизатор Б: Смотрит в сеть с адресом 172.23.50.251, внутренний адрес 10.10.1.2<br><br>Стоит задача сделать так, чтоб все компьютера за маршрутизатором Б (сеть 172.23.50.0) ходили в сеть 172.23.37.0 с ее адресами, то есть преобразовывались с помощью NAT на маршрутизаторе А. Еще ньюанс, что из сети 172.23.37.0 нужно ходить на сети 172.20.20.0 и 172.23.28.0. В эти сети можно ходить только с 172.23.37.0, поэтому и нужно замаскировать сетку 172.23.50.0. <br><br>Приведенные ниже конфиги это реализуют. Но проблема в том, что NAT на маршрутизаторе А не дает возможности полноценно работать с машинами в сети Б. Они пингуются, но приложения не работают, к примеру telnet и т.д. Понятно почему, команда tracert на компьютер в сети 172.23.50.0 возвращает маршрут через маршрутизатор А и в Настройка NAT на Cisco 881 с IPSec Tunel (leonart) https://opennet.ru/openforum/vsluhforumID6/20551.html#2 Wed, 24 Feb 2010 09:52:43 GMT &gt;[оверквотинг удален]<br>&gt;Итак если что я понял - ты хочешь что бы 2 сетки <br>&gt;172.23.50.0 172.23.37.0 общались между собой? <br>&gt;<br>&gt;Решение: строишь обычный IPSEC на криптомапах описываешь интересный трафик и вешаешь на <br>&gt;исходящие интерфейсы. Не забываем о маршрутизации. <br>&gt;<br>&gt;1.Сними этот бред с НАТ. ты натишь с внешнего интерфейса (я допускаю <br>&gt;что IPSEC у тебя завелся) адреса внутренней сети 172.23.50.0 0.0.0.255 но <br>&gt;этой сетки нет на внешнем интерфейсе она запакована IPSEC с внешними <br>&gt;адресами. <br><br>IPSEC подымается и sh ip nat translations показывает преобразование адресов сети 172.23.50.0 в сеть 172.23.50.0. И инкапсуляция пакетов кажется не мешает преобразованию адресов. В кратце повторю мою задачу. Нужно добиться, чтоб компьютеры сети 172.23.50.0 ходили в сети 172.20.20.0 и 172.23.28.0 через сеть 172.23.37.0 и с ее адресами. И при этом можно было заходить в сеть 172.23.50.0 из сети 172.23.37.0. Не просто на какую-то машину, а с помощью удаленного рабочего стола, через telnet и т.д.<br><br><br>&gt;2. НАТ нез Настройка NAT на Cisco 881 с IPSec Tunel (Николай) https://opennet.ru/openforum/vsluhforumID6/20551.html#1 Tue, 23 Feb 2010 10:44:32 GMT Честно пытался минут 5 понять что надо - но видать моя логика не настолько сильна :) Круто ты завернул конфиг :)) <br><br>Итак если что я понял - ты хочешь что бы 2 сетки 172.23.50.0 172.23.37.0 общались между собой?<br><br>Решение: строишь обычный IPSEC на криптомапах описываешь интересный трафик и вешаешь на исходящие интерфейсы. Не забываем о маршрутизации.<br><br>1.Сними этот бред с НАТ. ты натишь с внешнего интерфейса (я допускаю что IPSEC у тебя завелся) адреса внутренней сети 172.23.50.0 0.0.0.255 но этой сетки нет на внешнем интерфейсе она запакована IPSEC с внешними адресами. <br>2. НАТ незнаю как выразиться - работает в одну сторону т.е. одной стороне доступны ресурсы другой стороне но не наоборот. Что бы расшарить сервисы сети 172.23.50.0 надо делать ip nat inside ... extended.<br><br>