CiscoForums.it

Inviato: **mer 12 mar , 2008 5:26 pm**

Ciao a tutti.
ho configurato una vpn tra 2 sedi tramite sdm.
Quando ho applicato le modifiche SDM mi ha avvisato che avrebbe creato una route-map per far convivere il nat sulla vpn con le regole di nat già esistenti.

L'attuale regola di nat prevede che tutti escano con indirizzo 212.97.43.174

Perfetto, se non fosse che non funziona, nel senso che la vpn è ok, navigo eccetera, ma quando devo contattare dei servizi che accettano le connessioni da 212.97.43.174 non riesco.
Mi date un vostro aiuto su come risolvere?
Vi incollo la parte della conf che credo serva per capire qualcosa:

!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool Pool1 212.97.43.174 212.97.43.174 netmask 255.255.255.0
ip nat inside source route-map SDM_RMAP_1 pool Pool1
ip nat inside source static 192.168.1.59 212.97.43.169
ip nat inside source static 192.168.1.159 212.97.43.170
ip nat inside source static 192.168.1.99 212.97.43.171
ip nat inside source static 192.168.1.199 212.97.43.172
!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 permit udp any host 192.168.1.254 eq non500-isakmp
access-list 100 permit udp any host 192.168.1.254 eq isakmp
access-list 100 permit esp any host 192.168.1.254
access-list 100 permit ahp any host 192.168.1.254
access-list 100 deny ip 77.93.228.60 0.0.0.3 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark auto generated by Cisco SDM Express firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 remark IPSec Rule
access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 permit udp host 212.97.42.42 host 77.93.228.62 eq non500-isakmp
access-list 101 permit udp host 212.97.42.42 host 77.93.228.62 eq isakmp
access-list 101 permit esp host 212.97.42.42 host 77.93.228.62
access-list 101 permit ahp host 212.97.42.42 host 77.93.228.62
access-list 101 permit udp any host 77.93.228.62 eq non500-isakmp
access-list 101 permit udp any host 77.93.228.62 eq isakmp
access-list 101 permit esp any host 77.93.228.62
access-list 101 permit ahp any host 77.93.228.62
access-list 101 permit tcp any host 212.97.43.171 eq 443
access-list 101 permit tcp any host 212.97.43.171 eq ftp
access-list 101 permit tcp any host 212.97.43.171 eq ftp-data
access-list 101 permit tcp any host 212.97.43.170 eq pop3
access-list 101 permit tcp any host 212.97.43.170 eq smtp
access-list 101 permit tcp any host 212.97.43.169 eq www
access-list 101 permit tcp any host 212.97.43.172 eq pop3
access-list 101 permit tcp any host 212.97.43.172 eq smtp
access-list 101 permit tcp any host 212.97.43.171 eq www
access-list 101 deny ip 192.168.1.0 0.0.0.255 any
access-list 101 permit icmp any host 77.93.228.62 echo-reply
access-list 101 permit icmp any host 77.93.228.62 time-exceeded
access-list 101 permit icmp any host 77.93.228.62 unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any
access-list 101 remark IPSec Rule
access-list 101 remark IPSec Rule
access-list 102 remark SDM_ACL Category=4
access-list 102 remark IPSec Rule
access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 103 remark SDM_ACL Category=2
access-list 103 remark IPSec Rule
access-list 103 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 103 permit ip 192.168.1.0 0.0.0.255 any
access-list 104 remark SDM_ACL Category=4
access-list 104 remark IPSec Rule
access-list 104 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 105 remark SDM_ACL Category=4
access-list 105 remark IPSec Rule
access-list 105 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
snmp-server community public RO
no cdp run
!
!
!
route-map SDM_RMAP_1 permit 1
match ip address 103
!
!

Inviato: **gio 13 mar , 2008 12:07 am**

ciao,

allora se ho capito bene ci sono delle macchine che devono offrire un servizio su internet con l'ip 212.97.43.174 e tu da internet non raggiungi questi servizi su quell'ip.

se quello che ho scritto corrisponde al problema che hai, allora ti posso dire che mancano dei nat statici tra ip interno (192.168...) con la porta del servizio (esempio porta 80) e ip pubblico (212.97.43.174) porta del servizio (porta 80).

il comando che devi aggiungere è questo:

router(config)#ip nat inside source static tcp <ip interno> <porta> <ip pubblico> <porta>

ovviamente devi anche modificare le eventuali acl applicate in ingresso sulla interfaccia WAN per permettere l'accesso a quel servizio su quell'ip, quindi ad esempio:

router(config)#ip access-list 169 permit tcp any host <ip pubblico> eq <porta>

facci sapere!

ciaooo

Inviato: **gio 13 mar , 2008 8:59 am**

Anzitutto grazie infinite per il tuo intervento.
Facendo altri controlli ci siamo accorti che il pc usato per fare i test ha una certa configurazione, quindi naviga.

Cancella tutto... la VPN è OK, ma non navighiamo.
Sembra che, applicata la regola sulla vpn (e SDM mi avvisa che c'è già una regola di nat, mi chiede di trasformarla in nat con map-route) non esista più il nat originale. Io vorrei che tutto fosse come prima, cioè che tutti (192.168.1.x) escano con ip 212.97.43.174, ma quando contattiamo li indirizzi 192.168.2.x dobbiamo passare per la vpn (ovviamente).

Aiuto ad un pisquello!

CiscoForums.it

Vpn ok, ma poi non "natto"

Vpn ok, ma poi non "natto"