NAT dall'interno verso l'esterno

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
maggiore81
Cisco pathologically enlightened user
Messaggi: 216
Iscritto il: gio 15 feb , 2007 8:34 pm
Località: Ravenna - ITALY -
Contatta:
Contatta maggiore81

Buondì
ho una domandina che mi fa andare in crisi emotiva:

Ho un 2651XM con due eth:
atm0/0.1 wan 1.1.1.1/30
fast0/0 DMZ 172.16.0.11/28
fast0/1 LAN 192.168.1.254/24

DUNQUE:

siccome ho un router 3com stupido in DMZ che mi serve per avere un client pptp hardware, esso mi permette di impostare il pptp server, e il suo ip di "partenza" deve essere nella subnet del server..... mi spiego:

server pptp: 10.0.0.1
ip del 3com 10.0.0.2/24

non mi fa mettere il gw in quanto è li dentro alla stessa subnet..

Si lo so è stupidissimo ma non sono buono di usare un Cisco 831 come client PPTP.

La mia idea era:

se io imposto il 3com come esempio 172.16.0.1/28
il mio local gw è 172.16.0.11/28


Vorrei fare una regola di pat che:
il 3com chiama 172.16.0.11:1723 ----> 11.11.11.5:1723 (ip pubblico esterno a me)

Quindi posso far partire la VPN al 3com , convinto di andare su 172.16.0.11 (come server VPN) mentre in realtà va all'esterno.... che ne dite? si può fare?

Ho IOS 12.4(17) sul 2651xm
Dott. Spadoni
Network Administrator
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Quindi posso far partire la VPN al 3com , convinto di andare su 172.16.0.11 (come server VPN) mentre in realtà va all'esterno.... che ne dite? si può fare?
Direi proprio di si.
Io sui firewall faccio spesso sta cosa...
Sui router cambia poco...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
maggiore81
Cisco pathologically enlightened user
Messaggi: 216
Iscritto il: gio 15 feb , 2007 8:34 pm
Località: Ravenna - ITALY -
Contatta:
Contatta maggiore81

Buondi!

ehm... mi sapresti anche dare un esempio cosi provo? :)
Dott. Spadoni
Network Administrator
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Codice: Seleziona tutto

(config)#ip nat outside source static 11.11.11.5 172.16.0.11
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
maggiore81
Cisco pathologically enlightened user
Messaggi: 216
Iscritto il: gio 15 feb , 2007 8:34 pm
Località: Ravenna - ITALY -
Contatta:
Contatta maggiore81

Ciao
ma quel comando mi fa un nat 1-1 vero? si può nattare, nel caso di una vpn pptp, solo la 1723?

nel caso che il .11 sia il mio gw locale, non causerà disturbi per gli altri host che anch'essi lo usano come gw?
Dott. Spadoni
Network Administrator
Top
maggiore81
Cisco pathologically enlightened user
Messaggi: 216
Iscritto il: gio 15 feb , 2007 8:34 pm
Località: Ravenna - ITALY -
Contatta:
Contatta maggiore81

maggiore81 ha scritto:Ciao
ma quel comando mi fa un nat 1-1 vero? si può nattare, nel caso di una vpn pptp, solo la 1723?

nel caso che il .11 sia il mio gw locale, non causerà disturbi per gli altri host che anch'essi lo usano come gw?

ip nat outside source static 80.254.79.44 172.16.0.11

non funge :(
Dott. Spadoni
Network Administrator
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Codice: Seleziona tutto

(config)#ip nat outside source static tcp 11.11.11.5 1723 172.16.0.11 1723
Quando punti a 172.16.0.11 vieni direzionato su 11.11.11.5
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
maggiore81
Cisco pathologically enlightened user
Messaggi: 216
Iscritto il: gio 15 feb , 2007 8:34 pm
Località: Ravenna - ITALY -
Contatta:
Contatta maggiore81

Certo.
peccato che non funzioni :(

se io faccio chiamata VPN verso 172.16.0.11 muore li.

se la faccio direttamente a 11.11.11.5 funziona.

Se vuoi ti mando la config!
Dott. Spadoni
Network Administrator
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Non è che vieni segato da qualche acl?
Imposta bene il logging e verifica dai log...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
Rispondi

Torna a “Configurazioni”