Pagina 1 di 1
IOS: NAT statici e VPN
Inviato: mar 16 dic , 2008 8:43 pm
da vorlander
Ciao a tutti,
sono in possesso di un router cisco 857 su cui ho correttamente configurato un accesso con vpnclient.
Spiego l'infrastruttura:
VPN CLIENT: 192.168.254.0/24
Lan: 192.168.0.0/24
Mi collego con il client e va tutto un gioiello, tranne il problema sotto:
la macchina 192.168.0.10 ha dei port forwarding per dirottare alcune richieste che arrivano sulla dialer verso di lei.
ip nat inside source static tcp 192.168.0.10 80 interface dialer0 80
una volta inserito questo comando per pubblicare il server WEB, non sono piu in grado di accedere alla porta 80 usando il vpn client...qualcuno sa dirmi come risolvere il problema? io voglio accedere alla porta 80 dall'esterno, ma voglio continuare a raggiungerla anche con il vpn client.
Aggiungo che nel router è presente anche:
ip nat inside source list 100 interface dialer0 overload
access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.254.0 0.0.0.255
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
OGNI AIUTO E' BEN ACCETTO
Inviato: lun 22 dic , 2008 12:29 pm
da Wizard
Si è normale è un problema di nat, devi applicare una policy-map sulle regole di nat:
Codice: Seleziona tutto
ip nat inside source static tcp 192.168.0.10 80 interface dialer0 80 route-map POL-NAT
access-list 107 remark *************************************************************
access-list 107 remark ACL PER POLICY-NAT VPN CLIENT
access-list 107 remark *************************************************************
access-list 107 deny ip 192.168.0.0 0.0.0.255 192.168.254.0 0.0.0.255
access-list 107 permit ip any any
route-map POL-NAT permit 10
match ip address 107
Inviato: lun 22 dic , 2008 12:30 pm
da Wizard
Oggi mi sento buono (sarà il periodo Natalizio) quindi ti ho dato la pappina pronta.
Imposto il topic cm importante
Inviato: dom 28 dic , 2008 4:07 pm
da spider21
Ciao Wizard e grazie per essere stato buono a Natale !
Ho provato ad inserire le righe di configurazione sul mio router Cisco 857K9 (IOS 12.4) ma non mi accetta la static con in aggiunta la parte "route-map POL-NAT".
A differenza della tua configurazione, io utilizzo ip statico , quindi applico la static direttamente sull'atm0.1 in questo modo:
ip nat inside source static tcp 192.168.0.39 3389 interface ATM0.1 3389 route-map POL-NAT
Il router, pero', non riconosce il comando "route-map POL-NAT"
Sai perche' ?
Grazie
Inviato: dom 28 dic , 2008 6:46 pm
da Wizard
Mi sa che il problema sia la ios però nn ci puoi fare nulla se nn provare ad aggiornare. Per 857 c'è solo la ios advanced security e non la plus (advanced enterprise services).
Inviato: dom 28 dic , 2008 9:03 pm
da spider21
Wizard ha scritto:Mi sa che il problema sia la ios però nn ci puoi fare nulla se nn provare ad aggiornare. Per 857 c'è solo la ios advanced security e non la plus (advanced enterprise services).
Quindi, se non ho capito male, quella possibilita' e' legata alla tipologia di IOS che non e' prevista per l'857 ?
Che culo....
Inviato: lun 29 dic , 2008 12:39 pm
da Wizard
Mi sa proprio di si...
Inviato: ven 23 gen , 2009 9:57 pm
da Helix
Wizard ha scritto:Mi sa proprio di si...
Non va nemmeno con la 12.4.22T advipservices:D
Inviato: ven 23 gen , 2009 9:59 pm
da Helix
ip nat source route-map XXXXX interface dialer 0 overload
ma non credo c'entri qualcosa!
Inviato: mar 12 mag , 2009 2:19 pm
da Davide Sedoc
Ciao a tutti, mi è capitato un problema simile in effetti il comando :
ip nat inside source static tcp 192.168.0.10 80 interface dialer0 80 route-map POL-NAT
non funziona sugli ios del'857, però è possibile aggiungere la route-map se al posto di interface xxxxx si specifica un indirizzo ip( anche lo stesso ip dell'interfaccia se statico), esempio:
ip nat inside source static tcp 192.168.0.10 80 xxx.xxx.xxx.xxx 80 route-map POL-NAT extendable
t
Inviato: mar 12 mag , 2009 4:26 pm
da Wizard
In effetti gli 857 hanno solo la ios advancedsecurity e nn la advanced enterprise services...
Cmq se va mettendo l'ip al posto di "int xxx" in effetti è identico!
Inviato: lun 27 lug , 2009 7:58 pm
da walter48022
anche io ho lo stesso problema con un 877w, avevo bisogno di raggiungere un pc con vnc sia dalla vpn che sull'ip pubblico via nat, e non mi funziona. In piu' ho la sfortuna di avere l'ip pubblico dinamico. Ho risolto mettendo un secondo ip al computer che devo raggiungere, ovviamente e' ip della stessa classe di rete e non coinvolto nei nat. Il secondo ip lo puoi aggiungere anche nei pc con windows... ciao
Inviato: lun 28 set , 2009 3:09 pm
da emanuele.ciani
non so se possa essere utile
provate ad applicare la policy map all'interfaccia di ingresso lato lan
int eth0
ip policy route-map pippo
route-map pippo permit 10
match ip address 123
set ip next-hop 1.1.1.2
int loop 1
ip add 1.1.1.1
access-list 123 permit ip ip (nattato) (ip vpn)
Inviato: lun 18 ott , 2010 10:33 pm
da m.dinardo
Salve a tutti,
anche io ho lo stesso problema.
Riesco a fare e vedere tutto dall'esterno mentre in vpn no
Vi metto la mia config
Codice: Seleziona tutto
Current configuration : 3630 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname VS
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$dBKm$Lm5y.SJFLyIcL1TPHA2SS.
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
aaa session-id common
!
resource policy
!
no network-clock-participate slot 1
no network-clock-participate wic 0
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.xxx.xxx
ip dhcp excluded-address 192.168.xxx.xxx
ip dhcp excluded-address 192.168.xxx.xxx
ip dhcp excluded-address 192.168.xxx.xxx
!
ip dhcp pool 192.168.xxx.xxx/xx
network 192.168.xxx.xxx 255.255.255.0
default-router 192.168.xxx.xxx
dns-server 208.67.222.222 208.67.220.220
!
!
ip name-server 208.67.222.222
ip name-server 208.67.220.220
no ip ips deny-action ips-interface
ip ddns update method dyndns
HTTP
add http://xxx:[email protected]/nic/update?system=dyndns&hostname=<h>&myip=<a>
interval maximum 28 0 0 0
!
!
!
!
no ftp-server write-enable
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username xxx privilege 15 password 7 060B0E334F41
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
no crypto isakmp ccm
!
crypto isakmp client configuration group xxx
key xxx
dns 208.67.222.222
pool vpnpool
acl 102
!
!
crypto ipsec transform-set vpnset esp-3des esp-md5-hmac
!
crypto dynamic-map dynmap 1
set transform-set vpnset
reverse-route
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 1 ipsec-isakmp dynamic dynmap
!
!
!
!
interface FastEthernet0/0
ip address 192.168.xxx.xxx 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
duplex auto
speed auto
!
interface Serial0/0
no ip address
shutdown
no dce-terminal-timing-enable
!
interface ATM0/1
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Dialer0
mtu 1452
ip ddns update hostname xxx.xxx.xxx
ip ddns update dyndns host xxx.xxx.xxx
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp chap hostname xxx.xxx
ppp chap password 7 00171F071753
ppp pap sent-username xxx.xxx password 7 044807071C29
crypto map clientmap
!
ip local pool vpnpool 10.xxx.xxx.xxx 10.xxx.xxx.xxx
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
no ip http server
no ip http secure-server
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 192.168.xxx.xxx xxx interface Dialer0 xxx
ip nat inside source static tcp 192.168.xxx.xxx xxx interface Dialer0 xxx
ip nat inside source static tcp 192.168.xxx.xxx xxx interface Dialer0 xxx
ip nat inside source static tcp 192.168.xxx.xxx xxx interface Dialer0 xxx
ip nat inside source static tcp 192.168.xxx.xxx xxx interface Dialer0 xxx
!
access-list 101 deny ip 192.168.xxx.xxx 0.0.0.255 10.xxx.xxx.xxx 0.0.0.255
access-list 101 permit ip any any
access-list 102 permit ip 192.168.xxx.xxx 0.0.0.255 10.xxx.xxx.xxx 0.0.0.255
!
!
!
control-plane
!
!
!
voice-port 1/0/0
!
voice-port 1/0/1
!
voice-port 1/1/0
!
voice-port 1/1/1
!
!
!
!
!
!
!
!
line con 0
password 7 0822455D0A16
logging synchronous
line aux 0
line vty 0 4
password 7 060506324F41
transport input telnet ssh
!
!
end
VS#
Vi prego datemi una mano che sto impazzendo
Grazie mille
Re: IOS: NAT statici e VPN
Inviato: mar 26 giu , 2012 1:17 pm
da guzza1977
Probabilmente dovete inserire il seguento comando in configurazione "crypto isakmp client configuration group xxx":
!
conf t
crypto isakmp client configuration group xxx
include-local-lan
!
Fammi sapere se risolvi.
Ciao.