Cisco 1841 + 2 ADSL + VPN

[darkm20]

Ciao a tutti!

Ho un Cisco 1841 collegato a 2 ADSL su 2 diversi provider, ho deciso di pubblicare una serie di servizi, Web e posta tenendo separato il traffico della lan per la sola navigazione (in uscita verso il primo provider) da quello dei servizi (secondo provider). Non ho DMZ, quindi i server sono sulla LAN. Questi server li ho NATtati sugli ip pubblici del secondo provider e tutto funziona regolarmente con la configurazione che segue. Il problema nasce quando aggancio una VPN...dato che ho usato una PBR non mi torna risposta dalla VPN dei server che ho nattato staticamente sugli indirizzi pubblici del secondo provider dall'altro capo della VPN. Allora ho pensato..per quale motivo nattare un ip privato della mia lan a un ip pubblico del provider se posso nattare semplicemente le porte che mi servono ? Quindi ho sostituito le nat statiche con le nat delle sole porte. A questo punto mi trovo di fronte a un problema: i server non escono più sulla rete pubblica, neanche dalla stessa porta che ho nattato! Di certo avrò sbagliato qualcosa nella configurazione...


!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key xxxxxxxxxx address ipremotovpn
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto map CMAP 1 ipsec-isakmp
description Tunnel sede remota
set peer ipremotovpn
set transform-set ESP-3DES-SHA
match address 104
!
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
interface FastEthernet0/0
description Rete Lan
ip address iplocallan 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map redirect-adsl
duplex auto
speed auto
no mop enabled
!
interface Dialer0
bandwidth 256
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer-group 1
ppp chap hostname xxxx
ppp chap password xxxx
crypto map CMAP
crypto ipsec df-bit clear
!
interface Dialer1
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 2
dialer-group 2
no cdp enable
ppp pap sent-username xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0 (primo provider)
!
!

ip nat inside source route-map RMAP interface Dialer0 overload (primo provider)
ip nat inside source static 10.18.0.251 xxx.xxx.xxx.218 (ip pubblici secondo provider)
ip nat inside source static 10.18.0.98 xxx.xxx.xxx.219 (ip pubblici secondo provider)
ip nat inside source static 10.18.0.253 xxx.xxx.xxx.220 (ip pubblici secondo provider)
ip nat inside source static 10.18.0.248 xxx.xxx.xxx.221 (ip pubblici secondo provider)
ip nat inside source static 10.18.0.249 xxx.xxx.xxx.222 (ip pubblici secondo provider)

>>>>>>qui ho sostituito con:
ip nat inside source static tcp 10.18.0.251 80 xxx.xxx.xxx.218 80 (ip pubblico secondo provider)
>>>>>>


!
logging trap debugging
access-list 1 permit 10.18.0.0 0.0.0.255
access-list 103 deny ip 10.18.0.0 0.0.0.255 10.0.1.0 0.0.0.255
access-list 103 permit ip 10.18.0.0 0.0.0.255 any
access-list 104 remark Regola VPN
access-list 104 permit ip 10.18.0.0 0.0.0.255 10.0.1.0 0.0.0.255
access-list 110 deny ip host 10.18.0.253 10.0.1.0 0.0.0.255
access-list 110 permit ip host 10.18.0.253 any
access-list 110 permit ip host 10.18.0.251 any
access-list 110 permit ip host 10.18.0.98 any
access-list 110 permit ip host 10.18.0.248 any
access-list 110 permit ip host 10.18.0.249 any
access-list 111 deny ip 10.18.0.0 0.0.0.255 10.0.1.0 0.0.0.255
dialer-list 1 protocol ip permit
snmp-server community public RO 99
snmp-server enable traps tty
no cdp run
!
!
!
route-map RMAP permit 1
match ip address 103
!
route-map redirect-adsl permit 10
match ip address 110
set ip precedence priority
set ip next-hop ipsecondoprovider
!
route-map redirect-adsl deny 20
match ip address 111
!

[Wizard]

Sinceramente nn ho capito quale è il problema ora...
Vuoi rendere visibili con ip pubblici alcune macchine su internet ma allo stesso tempo devono essere visibili con l'ip interno dalla rete remota?

[darkm20]

Ciao,

Esatto non riesco a capire come mai se cambio il tipo di NAT i server stessi non raggiungono più internet, altrimenti se mantengo tutto così i Pc della rete remota tramite VPN non raggiungono SOLO i server che ho nattato con la NAT statica...

[darkm20]

Praticamente se dalla sede remota (tramite VPN) faccio un ping a uno dei server che ho nella NAT statica, i pacchetti vengono traslati con l'ip pubblico e non con quello della VPN.

> debug ip nat:

012495: *Nov 28 12:48:08.831 GMT: NAT*: s=10.18.0.253->xxx.xxx.xxx.220, d=ipremotovpn [50223]

In definitiva, lo scopo che vorrei raggiungere mi sembra abbastanza semplice. Voglio gestire 2 WAN, su uno la navigazione e sull'altro gestire servizi di tipo posta o web. Inoltre gestire una VPN che mi consenta di raggiungere gli stessi server sulla LAN della sede principale.

[Wizard]

Policy NAT applicato alle regole di nat statico...

Ne sai qualcosa?

[darkm20]

Intendi route-map applicate alle nat statiche o access list applicate alle NAT statiche ? Puoi farmi un esempio ?

[Wizard]

Intendo Intendi route-map applicate alle nat statiche e acl applicate alle route-map