Pagina 1 di 1
Tunnel e NAT
Inviato: mar 09 ott , 2012 1:46 pm
da Rizio
Ho un tunnel GRE configurato così:
ROUTER A
Codice: Seleziona tutto
interface Tunnel8
description FASTWEB -> KPNQWEST
bandwidth 512
ip address 192.168.255.14 255.255.255.252
ip mtu 1420
keepalive 10 3
tunnel source Vlan201
tunnel destination aaa.aaa.aaa.aaa
tunnel mode ipsec ipv4
tunnel protection ipsec profile TUNNEL-PROFILE
con vlan201 configurata così:
Codice: Seleziona tutto
interface Vlan201
ip address bbb.bbb.bbb.bbb 255.255.255.248
ip access-group VPN_OUT out
ip nat outside
ip virtual-reassembly
dall'altra parte sono messo così:
ROUTER B
Codice: Seleziona tutto
interface Tunnel8
description KPNQWEST -> FASTWEB
bandwidth 512
ip address 192.168.255.13 255.255.255.252
ip mtu 1420
keepalive 10 3
tunnel source ATM0.1
tunnel destination bbb.bbb.bbb.bbb
tunnel mode ipsec ipv4
tunnel protection ipsec profile TUNNEL-PROFILE
con ATM0.1 configurata così:
Codice: Seleziona tutto
interface ATM0.1 point-to-point
ip address aaa.aaa.aaa.aaa 255.255.255.252
ip virtual-reassembly
pvc 8/35
da un pò di tempo il tunnel è down e non riesco a farlo tornare up. Le macchine si vedono e si pingano correttamente, ma il tunnel non sale più.
Analizzando quello che ho fatto nel tempo, visto che all'inizio funzionava, IMHO è perchè qualche mese fà ho attivato il nat sull'interfaccia vlan201.
Sul ROUTER A come regole di NAT ho semplicemente questo:
Codice: Seleziona tutto
ip nat inside source static 172.18.1.2 interface Vlan201
ip nat inside source static 172.18.1.8 bbb.bbb.bbb.bbb
perchè ho la vlan 2 che è configurata sulla classe 172.18.0.0 e faccio uscire da quel router un proxy e un server (per le query dns).
Mi chiedevo, esiste il modo per dirgli di NON fare nat verso un determinato IP?
Qualcosa tipo l'access-list dell'ASA "nonat"?
Tnk's in advance
Rizio
Re: Tunnel e NAT
Inviato: mar 09 ott , 2012 2:58 pm
da paolomat75
Ciao Rizio,
come è configurato il NAT. Se usi l'ACL postala e dimmi quale rete deve raggiungere.
Paolo
Re: Tunnel e NAT
Inviato: mar 09 ott , 2012 3:07 pm
da Rizio
Ciao Paolo,
no, nessuna acl per il nat, è configurato semplice semplice come lo vedi.
L'unica ACL è quella VPN_OUT per protezione.
Deve raggiungere l'ip del router b
Ho provato a toglierlo dall'interfaccia vlan201 e così il tunnel è tornato up, però ora ho le macchine che dovrebbero uscire che non riescono a causa della mancanza del NAT.
Rizio
Re: Tunnel e NAT
Inviato: mar 09 ott , 2012 3:18 pm
da paolomat75
Rizio ha scritto:Ciao Paolo,
no, nessuna acl per il nat, è configurato semplice semplice come lo vedi.
L'unica ACL è quella VPN_OUT per protezione.
Deve raggiungere l'ip del router b
Ho provato a toglierlo dall'interfaccia vlan201 e così il tunnel è tornato up, però ora ho le macchine che dovrebbero uscire che non riescono a causa della mancanza del NAT.
Rizio
Ho letto un po' di corsa ma mi sa che per quello che vuoi fare te bisogna fare il nat con una route-map.
Paolo
Re: Tunnel e NAT
Inviato: mar 09 ott , 2012 3:24 pm
da Rizio
paolomat75 ha scritto:Ho letto un po' di corsa ma mi sa che per quello che vuoi fare te bisogna fare il nat con una route-map.
Ok, grazie mille a priori per la risposta.
Intanto ho risolto "sprecando" un ip pubblico per il server che deve fare solo le richieste DNS
Codice: Seleziona tutto
no ip nat inside source static 172.18.1.2 interface Vlan201
ip nat inside source static 172.18.1.2 IP_PUBBLICO_DEL_POOL
così il tunnel è tornato up e anche il resto funziona, poi, se ti devo dire che mi sento un bravo ragazzo a sprecare un IP pubblico solo per delle query DNS la risposta è no, ma ho stampato un documento della Cisco su come lavora il nat e vedo di migliorare il concetto nei prossimi giorni con il PAT o con le route-map come suggerivi tu.
Grazie
Rizio
Re: Tunnel e NAT
Inviato: mar 09 ott , 2012 4:00 pm
da paolomat75
Prego.
Buona serata
Paolo
Re: Tunnel e NAT
Inviato: mer 10 ott , 2012 1:45 pm
da Rizio
Paolo, toglimi una curiosità, perchè se provo a sostituire queste righe
Codice: Seleziona tutto
ip nat inside source static 172.18.1.8 xxx.xxx.xxx.99
ip nat inside source static 172.18.1.2 xxx.xxx.xxx.100
con queste:
Codice: Seleziona tutto
ip nat inside source static tcp 172.18.1.8 80 xxx.xxx.xxx.99 80
ip nat inside source static tcp 172.18.1.8 443 xxx.xxx.xxx.99 443
ip nat inside source static tcp 172.18.1.8 20 xxx.xxx.xxx..99 20
ip nat inside source static tcp 172.18.1.8 21 xxx.xxx.xxx..99 21
ip nat inside source static tcp 172.18.1.2 53 xxx.xxx.xxx.99 53
ip nat inside source static udp 172.18.1.2 53 xxx.xxx.xxx..99 53
poi non mi funziona più nulla?
Ho letto un pò di doc riguardo al nat ma si vede che non l'ho ben capito
Cosa stò sbagliando?
Grazie in anticipo
Rizio
Re: Tunnel e NAT
Inviato: mer 10 ott , 2012 2:00 pm
da paolomat75
Rizio ha scritto:Paolo, toglimi una curiosità, perchè se provo a sostituire queste righe
Codice: Seleziona tutto
ip nat inside source static 172.18.1.8 xxx.xxx.xxx.99
ip nat inside source static 172.18.1.2 xxx.xxx.xxx.100
con queste:
Codice: Seleziona tutto
ip nat inside source static tcp 172.18.1.8 80 xxx.xxx.xxx.99 80
ip nat inside source static tcp 172.18.1.8 443 xxx.xxx.xxx.99 443
ip nat inside source static tcp 172.18.1.8 20 xxx.xxx.xxx..99 20
ip nat inside source static tcp 172.18.1.8 21 xxx.xxx.xxx..99 21
ip nat inside source static tcp 172.18.1.2 53 xxx.xxx.xxx.99 53
ip nat inside source static udp 172.18.1.2 53 xxx.xxx.xxx..99 53
poi non mi funziona più nulla?
Ho letto un pò di doc riguardo al nat ma si vede che non l'ho ben capito
Cosa stò sbagliando?
Grazie in anticipo
Rizio
Ciao,
l'unica cosa che vedo è che in alcune righe c'è il doppio punto. É un refuso nel scrivere o è così nella configurazione?
Paolo
Re: Tunnel e NAT
Inviato: mer 10 ott , 2012 2:25 pm
da Rizio
paolomat75 ha scritto:l'unica cosa che vedo è che in alcune righe c'è il doppio punto. É un refuso nel scrivere o è così nella configurazione?
E' un refuso della cancellazione degli ip reali, nella conf sono corretti.
Purtroppo così non funziona.
Nel dettaglio; il 172.18.1.8 è un proxy e dovrebbe permettere la navigazione, il 172.18.1.2 è un server e dovrebbe solo eseguire delle query DNS.
Rizio
Re: Tunnel e NAT
Inviato: mer 10 ott , 2012 2:28 pm
da paolomat75
Rizio ha scritto:paolomat75 ha scritto:l'unica cosa che vedo è che in alcune righe c'è il doppio punto. É un refuso nel scrivere o è così nella configurazione?
E' un refuso della cancellazione degli ip reali, nella conf sono corretti.
Purtroppo così non funziona.
Nel dettaglio; il 172.18.1.8 è un proxy e dovrebbe permettere la navigazione, il 172.18.1.2 è un server e dovrebbe solo eseguire delle query DNS.
Rizio
Ok. Aggiungi alle traduzioni in fondo la keyword extendable.
Cosi dovrebbe andare, se no ha traduzioni ambigue e non va.
Paolo
Re: Tunnel e NAT
Inviato: mer 10 ott , 2012 2:30 pm
da Rizio
paolomat75 ha scritto:Ok. Aggiungi alle traduzioni in fondo la keyword extendable.
Cosi dovrebbe andare, se no ha traduzioni ambigue e non va.
Me le ha aggiunte lui in automatico però non funziona uguale. Se comunque dici che così le regole sono formalmente corrette provo a verificare altro. Magari domani ti posto la conf completa, ora devo scappare.
Intanto grazie come sempre
Rizio
Re: Tunnel e NAT
Inviato: mer 10 ott , 2012 2:32 pm
da paolomat75
Rizio ha scritto:paolomat75 ha scritto:Ok. Aggiungi alle traduzioni in fondo la keyword extendable.
Cosi dovrebbe andare, se no ha traduzioni ambigue e non va.
Me le ha aggiunte lui in automatico però non funziona uguale. Se comunque dici che così le regole sono formalmente corrette provo a verificare altro. Magari domani ti posto la conf completa, ora devo scappare.
Intanto grazie come sempre
Rizio
Ok infatti doveva aggiungerle, ma non avendole viste... OK.
A questo punto bisogna fare del debug
Buona giornata
Paolo
Re: Tunnel e NAT
Inviato: lun 15 ott , 2012 11:21 am
da Rizio
paolomat75 ha scritto:A questo punto bisogna fare del debug
Niente, non c'è verso di fare nat solo della porta 53 verso l'esterno.
Se non natto fuori il server con un IP "intero" non c'è verso di far funzionare il forwarder del DNS.
Le righe
Codice: Seleziona tutto
ip nat inside source static tcp 172.18.1.2 53 xxx.xxx.xxx.101 53 extendable
ip nat inside source static udp 172.18.1.2 53 xxx.xxx.xxx.101 53 extendable
non mi permettono di uscire.
Qualcuno riesce a spiegarmelo?
Grazie
Rizio