Pagina 1 di 1
Nat sulla outside e stessa porta su VPN
Inviato: sab 09 feb , 2008 10:25 am
da zot
Ho un router "centrale" che raccoglie un pò di VPN.Su questo stesso router c'è un NAT ..in particolare per far accedere dall'esterno degli utenti a Terminal Server.
Il problema è che su questo stesso TS ora dovrebbero accedere anche i client delle varie VPN sia VPN Client che VPN l2l .
Con un nat del tipo ip nat inside source static tcp xxx.xxx.xxx.xxx 3389 interface ATM0.1 3389 ciò non è possibile....
Qualche suggerimento?
Inviato: sab 09 feb , 2008 4:04 pm
da Wizard
Se ho capito bene devi fare raggiungere sul ip interno certe porte già nattate sulla outside?!
Se è così si può fare!
Devi configurare un bel policy nat!
Inviato: sab 09 feb , 2008 5:49 pm
da zot
Wizard ha scritto:Se ho capito bene devi fare raggiungere sul ip interno certe porte già nattate sulla outside?!
Se è così si può fare!
Devi configurare un bel policy nat!
Si è così....policy nat umm vediamo se trovo qualcosa
Inviato: sab 09 feb , 2008 9:22 pm
da Wizard
Se non ci salti fuori scrivi in questo topic che ti scrivo io un esempio.
Tempo fa mi ci ero scontrato e mi ero documentato bene!
Giusto x info, questo problema lo hai solo sui router, sui firewall il nat0 vince quindi ti risparmi il policy-nat
Inviato: dom 10 feb , 2008 1:29 am
da zot
Info provenienti dal mio cervello fuso :
I tunnel VPN sono terminati sulla ATM0.1(o meglio sull'interfaccia che fa nat outside).
Il comando ip nat inside source static tcp xxx.xxx.xxx.xxx 3389 interface ATM0.1 3389 indica che tutti i pacchetti provenienti sulla ATM0.1 con porta destinazione 3389 vengano dirottati sull'indirizzo xxx.xxx.xxx.xxx mantenendo sempre come porta destinazione 3389.
Il traffico proveniente dalla stessa interffaccia deve avere delle priorità.....e i nostri Cisco danno priorità al NAT piuttosto che alle VPN.
In una configurazione con VPN ,infatti,nella NAT0 indichiamo di non tradurre il traffico destinato alle subnet delle sedi remote.
Quindi si deve trovare un modo per escludere dal nat sull' ATM0.1 ,riguardante l'indirizzo e la porta in oggetto, le subnet delle reti remote.
Se avessi avuto due Ip pubblici(assegnati a due diverse interfacce,logiche o fisiche che siano) uno nel quale terminavano le VPN e uno nel quale nattavo l'ip e la porta in questione,il problema non si sarebbe presentato.
Ora,sempre se non ho travisato tutto,mi manca la parte pratica.
Avrei pensato così:
il comando
ip nat inside source static tcp xxx.xxx.xxx.xxx 3389 interface ATM0.1 3389
lo trasformo così
ip nat inside source list 168 interface ATM0.1
access-list 168 deny tcp yyyy.yyy.yyy.yyy 0.0.0.255 host xxx.xxx.xxx.xxx eq 3389
access-list 168 deny tcp zzz.zzz.zzz.zzz 0.0.0.255 host xxx.xxx.xxx.xxx eq 3389
access-list 168 permit tcp any host xxx.xxx.xxx.xxx eq 3389
dove yyyy.yyy.yyy.yyy e zzz.zzz.zzz.zzz sono le subnet delle sedi remote
Ci sono andato almeno vicino?
Inviato: dom 10 feb , 2008 1:37 am
da zot
Wizard ha scritto:questo problema lo hai solo sui router, sui firewall il nat0 vince quindi ti risparmi il policy-nat
rileggendo mi accorgo che il mio ragionamento è invertito......mi sa che è ora di nanna.
Inviato: dom 10 feb , 2008 8:33 am
da Wizard
Mi disp ma nn si fa così...
Devi applicare una policy alla riga di nat 1:1 configurata...
Domani ti posto un esempio
Inviato: lun 11 feb , 2008 6:07 pm
da zot
A questo punto muoio dalla curiosità ....
Inviato: mar 12 feb , 2008 10:56 am
da Wizard
Codice: Seleziona tutto
ip nat inside source static tcp 192.168.0.100 3389 88.44.195.138 3389 route-map POL-NAT
access-list 107 remark *************************************************************
access-list 107 remark ACL PER POLICY-NAT VPN CLIENT
access-list 107 remark *************************************************************
access-list 107 deny ip 192.168.0.0 0.0.0.255 192.168.0.200 0.0.0.7
access-list 107 permit ip any any
route-map POL-NAT permit 10
match ip address 107
Inviato: ven 15 feb , 2008 12:22 am
da zot
Prima di tutto un grande grazie...poi,ho applicato il NAT nella conf di seguito e...i PC della lan 192.168.0.0 (quelli della rete dov'è c'è il server da nattare)non navigano,possono usare la posta e fare qualsiasi altra cosa,tranne usare la porta 80.
Premetto che avrei a disposizione altri IP pubblici ma dovrei riconfigurare il tutto con un interfaccia di loopback e ,se posso evitare,evito.
Ho pensato a qualche problema sulla ACL della route-map del NAT statico sulla 80,ma no so....posto la conf che non fa andere i client su internet.
Codice: Seleziona tutto
interface ATM0.1 point-to-point
ip address xx.xx.xx.xx 255.255.255.248
ip access-group 131 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting access-violations
ip inspect FWOUT out
ip nat outside
ip virtual-reassembly
no ip mroute-cache
no snmp trap link-status
pvc 8/35
encapsulation aal5snap
!
crypto map VPN
!
ip local pool remote-pool 192.168.10.240 192.168.10.254
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip nat inside source route-map RM-1 interface ATM0.1 overload
ip nat inside source static tcp 192.168.0.2 80 xx.xx.xx.xx 80 route-map RM-2
!
access-list 1 remark ***********************
access-list 1 remark *** ACL ROUTE-MAP-1 ***
access-list 1 remark ***********************
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 100 remark ****************
access-list 100 remark *** ACL NAT-0 ***
access-list 100 remark ****************
access-list 100 remark --vpn 1--
access-list 100 deny ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 100 remark --vpn 2--
access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 remark --vpn 3--
access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 remark --vpn 4--
access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 remark --vpn 5--
access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 100 remark --to translate--
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 101 remark ***********************
access-list 101 remark *** ACL ROUTE-MAP-2 ***
access-list 101 remark ***********************
access-list 101 deny ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 permit ip any any
access-list 151 remark --VPN-1--
access-list 151 permit ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 152 remark --VPN-2--
access-list 152 permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 153 remark --VPN-3--
access-list 153 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 154 remark --VPN-4--
access-list 154 permit ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255
!
route-map RM-1 permit 1
match ip address 100
!
route-map RM-2 permit 5
match ip address 101
Inviato: ven 15 feb , 2008 4:59 pm
da Wizard
Io non avrei fatto così!
Avrei fatto:
- PAT e NAT0 nella stessa acl
- ACL por policy-nat in una indipendente
Inviato: mar 19 feb , 2008 10:46 am
da zot
Umm,mi sono accorto che nella mia conf c'è l'access-list 1 che non viene matchata da nulla.....
Non capisco che intendi per NAT0 e PAT sulla stessa ACL...non ci sono già nella conf che ho postato?(considerando che l'ACL 1 è un refuso di qualche vecchia conf.)
Inviato: mar 19 feb , 2008 5:08 pm
da Wizard
Si hai ragione...
Ma ora dalla vpn si riesce a raggiungere la porta 80? da internet? e dalla lan?
Inviato: mar 19 feb , 2008 7:25 pm
da zot
Ho tolto il nat sulla porta 80 e va tutto OK.
In pratica con questa ACL
Codice: Seleziona tutto
access-list 101 remark ***********************
access-list 101 remark *** ACL ROUTE-MAP-2 ***
access-list 101 remark ***********************
access-list 101 deny ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.10.0 0.0.0.255
associata a questa policy nat
a sua volta associata a questo NAT
Codice: Seleziona tutto
ip nat inside source static tcp 192.168.0.2 80 xx.xx.xx.xx 80 route-map RM-2
dove xx.xx.xx.xx è l'IP pubblico associato all' ATM0.1 (in pratica anche avendo a disposizione 6 IP ne sto utilizzando 1 solo)
In pratica,dicevo,così configurato i client nella rete 192.168.0.0/24 che è quella della eth0 del router,non escono sulla porta 80,mentre dall'esterno,la traduzione NAT sulla 80 sull'IP 192.168.0.2 avviene corretamente.