Nat sulla outside e stessa porta su VPN

[zot]

Ho un router "centrale" che raccoglie un pò di VPN.Su questo stesso router c'è un NAT ..in particolare per far accedere dall'esterno degli utenti a Terminal Server.
Il problema è che su questo stesso TS ora dovrebbero accedere anche i client delle varie VPN sia VPN Client che VPN l2l .
Con un nat del tipo ip nat inside source static tcp xxx.xxx.xxx.xxx 3389 interface ATM0.1 3389 ciò non è possibile....
Qualche suggerimento?

[Wizard]

Se ho capito bene devi fare raggiungere sul ip interno certe porte già nattate sulla outside?!
Se è così si può fare!
Devi configurare un bel policy nat!

[zot]

Se ho capito bene devi fare raggiungere sul ip interno certe porte già nattate sulla outside?!
Se è così si può fare!
Devi configurare un bel policy nat!

Si è così....policy nat umm vediamo se trovo qualcosa

[Wizard]

Se non ci salti fuori scrivi in questo topic che ti scrivo io un esempio.
Tempo fa mi ci ero scontrato e mi ero documentato bene!

Giusto x info, questo problema lo hai solo sui router, sui firewall il nat0 vince quindi ti risparmi il policy-nat

[zot]

Info provenienti dal mio cervello fuso :

I tunnel VPN sono terminati sulla ATM0.1(o meglio sull'interfaccia che fa nat outside).
Il comando ip nat inside source static tcp xxx.xxx.xxx.xxx 3389 interface ATM0.1 3389 indica che tutti i pacchetti provenienti sulla ATM0.1 con porta destinazione 3389 vengano dirottati sull'indirizzo xxx.xxx.xxx.xxx mantenendo sempre come porta destinazione 3389.
Il traffico proveniente dalla stessa interffaccia deve avere delle priorità.....e i nostri Cisco danno priorità al NAT piuttosto che alle VPN.
In una configurazione con VPN ,infatti,nella NAT0 indichiamo di non tradurre il traffico destinato alle subnet delle sedi remote.
Quindi si deve trovare un modo per escludere dal nat sull' ATM0.1 ,riguardante l'indirizzo e la porta in oggetto, le subnet delle reti remote.
Se avessi avuto due Ip pubblici(assegnati a due diverse interfacce,logiche o fisiche che siano) uno nel quale terminavano le VPN e uno nel quale nattavo l'ip e la porta in questione,il problema non si sarebbe presentato.
Ora,sempre se non ho travisato tutto,mi manca la parte pratica.
Avrei pensato così:
il comando
ip nat inside source static tcp xxx.xxx.xxx.xxx 3389 interface ATM0.1 3389
lo trasformo così
ip nat inside source list 168 interface ATM0.1
access-list 168 deny tcp yyyy.yyy.yyy.yyy 0.0.0.255 host xxx.xxx.xxx.xxx eq 3389
access-list 168 deny tcp zzz.zzz.zzz.zzz 0.0.0.255 host xxx.xxx.xxx.xxx eq 3389
access-list 168 permit tcp any host xxx.xxx.xxx.xxx eq 3389

dove yyyy.yyy.yyy.yyy e zzz.zzz.zzz.zzz sono le subnet delle sedi remote

Ci sono andato almeno vicino?

[zot]

questo problema lo hai solo sui router, sui firewall il nat0 vince quindi ti risparmi il policy-nat

rileggendo mi accorgo che il mio ragionamento è invertito......mi sa che è ora di nanna.

[Wizard]

Mi disp ma nn si fa così...
Devi applicare una policy alla riga di nat 1:1 configurata...
Domani ti posto un esempio

[zot]

A questo punto muoio dalla curiosità ....

[Wizard]

Codice: Seleziona tutto

ip nat inside source static tcp 192.168.0.100 3389 88.44.195.138 3389 route-map POL-NAT

access-list 107 remark *************************************************************
access-list 107 remark ACL PER POLICY-NAT VPN CLIENT
access-list 107 remark *************************************************************
access-list 107 deny   ip 192.168.0.0 0.0.0.255 192.168.0.200 0.0.0.7
access-list 107 permit ip any any

route-map POL-NAT permit 10
 match ip address 107

[zot]

Prima di tutto un grande grazie...poi,ho applicato il NAT nella conf di seguito e...i PC della lan 192.168.0.0 (quelli della rete dov'è c'è il server da nattare)non navigano,possono usare la posta e fare qualsiasi altra cosa,tranne usare la porta 80.
Premetto che avrei a disposizione altri IP pubblici ma dovrei riconfigurare il tutto con un interfaccia di loopback e ,se posso evitare,evito.
Ho pensato a qualche problema sulla ACL della route-map del NAT statico sulla 80,ma no so....posto la conf che non fa andere i client su internet.

Codice: Seleziona tutto

interface ATM0.1 point-to-point
 ip address xx.xx.xx.xx 255.255.255.248
 ip access-group 131 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip accounting access-violations
 ip inspect FWOUT out
 ip nat outside
 ip virtual-reassembly
 no ip mroute-cache
 no snmp trap link-status
 pvc 8/35
  encapsulation aal5snap
  !
  crypto map VPN
!
ip local pool remote-pool 192.168.10.240 192.168.10.254
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip nat inside source route-map RM-1 interface ATM0.1 overload
ip nat inside source static tcp 192.168.0.2 80 xx.xx.xx.xx 80 route-map RM-2 
!
access-list 1 remark ***********************
access-list 1 remark *** ACL ROUTE-MAP-1 ***
access-list 1 remark ***********************
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 100 remark ****************
access-list 100 remark *** ACL NAT-0 ***
access-list 100 remark ****************
access-list 100 remark --vpn 1--
access-list 100 deny   ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 100 remark --vpn 2--
access-list 100 deny   ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 remark --vpn 3--
access-list 100 deny   ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 remark --vpn 4--
access-list 100 deny   ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 remark --vpn 5--
access-list 100 deny   ip 192.168.0.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 100 remark --to translate--
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 101 remark ***********************
access-list 101 remark *** ACL ROUTE-MAP-2 ***
access-list 101 remark ***********************
access-list 101 deny   ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 101 deny   ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 deny   ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 deny   ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 101 deny   ip 192.168.0.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 permit ip any any
access-list 151 remark --VPN-1--
access-list 151 permit ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 152 remark --VPN-2--
access-list 152 permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 153 remark --VPN-3--
access-list 153 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 154 remark --VPN-4--
access-list 154 permit ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255

!
route-map RM-1 permit 1
 match ip address 100
!
route-map RM-2 permit 5
 match ip address 101

[Wizard]

Io non avrei fatto così!
Avrei fatto:

- PAT e NAT0 nella stessa acl
- ACL por policy-nat in una indipendente

[zot]

Umm,mi sono accorto che nella mia conf c'è l'access-list 1 che non viene matchata da nulla.....
Non capisco che intendi per NAT0 e PAT sulla stessa ACL...non ci sono già nella conf che ho postato?(considerando che l'ACL 1 è un refuso di qualche vecchia conf.)

[Wizard]

Si hai ragione...
Ma ora dalla vpn si riesce a raggiungere la porta 80? da internet? e dalla lan?

[zot]

Ho tolto il nat sulla porta 80 e va tutto OK.
In pratica con questa ACL

Codice: Seleziona tutto

access-list 101 remark ***********************
access-list 101 remark *** ACL ROUTE-MAP-2 ***
access-list 101 remark ***********************
access-list 101 deny   ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 101 deny   ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 deny   ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 deny   ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 101 deny   ip 192.168.0.0 0.0.0.255 192.168.10.0 0.0.0.255

associata a questa policy nat

Codice: Seleziona tutto

route-map RM-2 permit 5
 match ip address 101 

a sua volta associata a questo NAT

Codice: Seleziona tutto

ip nat inside source static tcp 192.168.0.2 80 xx.xx.xx.xx 80 route-map RM-2

dove xx.xx.xx.xx è l'IP pubblico associato all' ATM0.1 (in pratica anche avendo a disposizione 6 IP ne sto utilizzando 1 solo)
In pratica,dicevo,così configurato i client nella rete 192.168.0.0/24 che è quella della eth0 del router,non escono sulla porta 80,mentre dall'esterno,la traduzione NAT sulla 80 sull'IP 192.168.0.2 avviene corretamente.