IOS: NAT statici e VPN

[vorlander]

Ciao a tutti,

sono in possesso di un router cisco 857 su cui ho correttamente configurato un accesso con vpnclient.
Spiego l'infrastruttura:

VPN CLIENT: 192.168.254.0/24
Lan: 192.168.0.0/24

Mi collego con il client e va tutto un gioiello, tranne il problema sotto:

la macchina 192.168.0.10 ha dei port forwarding per dirottare alcune richieste che arrivano sulla dialer verso di lei.

ip nat inside source static tcp 192.168.0.10 80 interface dialer0 80

una volta inserito questo comando per pubblicare il server WEB, non sono piu in grado di accedere alla porta 80 usando il vpn client...qualcuno sa dirmi come risolvere il problema? io voglio accedere alla porta 80 dall'esterno, ma voglio continuare a raggiungerla anche con il vpn client.

Aggiungo che nel router è presente anche:

ip nat inside source list 100 interface dialer0 overload
access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.254.0 0.0.0.255
access-list 100 permit ip 192.168.0.0 0.0.0.255 any

OGNI AIUTO E' BEN ACCETTO

[Wizard]

Si è normale è un problema di nat, devi applicare una policy-map sulle regole di nat:

Codice: Seleziona tutto

ip nat inside source static tcp 192.168.0.10 80 interface dialer0 80 route-map POL-NAT

access-list 107 remark *************************************************************
access-list 107 remark ACL PER POLICY-NAT VPN CLIENT
access-list 107 remark *************************************************************
access-list 107 deny   ip 192.168.0.0 0.0.0.255 192.168.254.0 0.0.0.255
access-list 107 permit ip any any

route-map POL-NAT permit 10
 match ip address 107

[Wizard]

Oggi mi sento buono (sarà il periodo Natalizio) quindi ti ho dato la pappina pronta.

Imposto il topic cm importante

[spider21]

Ciao Wizard e grazie per essere stato buono a Natale !


Ho provato ad inserire le righe di configurazione sul mio router Cisco 857K9 (IOS 12.4) ma non mi accetta la static con in aggiunta la parte "route-map POL-NAT".

A differenza della tua configurazione, io utilizzo ip statico , quindi applico la static direttamente sull'atm0.1 in questo modo:

ip nat inside source static tcp 192.168.0.39 3389 interface ATM0.1 3389 route-map POL-NAT

Il router, pero', non riconosce il comando "route-map POL-NAT"

Sai perche' ?

Grazie

[Wizard]

Mi sa che il problema sia la ios però nn ci puoi fare nulla se nn provare ad aggiornare. Per 857 c'è solo la ios advanced security e non la plus (advanced enterprise services).

[spider21]

Mi sa che il problema sia la ios però nn ci puoi fare nulla se nn provare ad aggiornare. Per 857 c'è solo la ios advanced security e non la plus (advanced enterprise services).

Quindi, se non ho capito male, quella possibilita' e' legata alla tipologia di IOS che non e' prevista per l'857 ?

Che culo....

[Wizard]

Mi sa proprio di si...

[Helix]

Mi sa proprio di si...

Non va nemmeno con la 12.4.22T advipservices:D

[Helix]

ip nat source route-map XXXXX interface dialer 0 overload

ma non credo c'entri qualcosa!

[Davide Sedoc]

Ciao a tutti, mi è capitato un problema simile in effetti il comando :

ip nat inside source static tcp 192.168.0.10 80 interface dialer0 80 route-map POL-NAT

non funziona sugli ios del'857, però è possibile aggiungere la route-map se al posto di interface xxxxx si specifica un indirizzo ip( anche lo stesso ip dell'interfaccia se statico), esempio:


ip nat inside source static tcp 192.168.0.10 80 xxx.xxx.xxx.xxx 80 route-map POL-NAT extendable

t

[Wizard]

In effetti gli 857 hanno solo la ios advancedsecurity e nn la advanced enterprise services...

Cmq se va mettendo l'ip al posto di "int xxx" in effetti è identico!

[walter48022]

anche io ho lo stesso problema con un 877w, avevo bisogno di raggiungere un pc con vnc sia dalla vpn che sull'ip pubblico via nat, e non mi funziona. In piu' ho la sfortuna di avere l'ip pubblico dinamico. Ho risolto mettendo un secondo ip al computer che devo raggiungere, ovviamente e' ip della stessa classe di rete e non coinvolto nei nat. Il secondo ip lo puoi aggiungere anche nei pc con windows... ciao

[emanuele.ciani]

non so se possa essere utile

provate ad applicare la policy map all'interfaccia di ingresso lato lan
int eth0
ip policy route-map pippo



route-map pippo permit 10
match ip address 123
set ip next-hop 1.1.1.2

int loop 1
ip add 1.1.1.1



access-list 123 permit ip ip (nattato) (ip vpn)

[m.dinardo]

Salve a tutti,

anche io ho lo stesso problema.
Riesco a fare e vedere tutto dall'esterno mentre in vpn no

Vi metto la mia config

Codice: Seleziona tutto

Current configuration : 3630 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname VS
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$dBKm$Lm5y.SJFLyIcL1TPHA2SS.
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local 
!
aaa session-id common
!
resource policy
!
no network-clock-participate slot 1 
no network-clock-participate wic 0 
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.xxx.xxx
ip dhcp excluded-address 192.168.xxx.xxx
ip dhcp excluded-address 192.168.xxx.xxx
ip dhcp excluded-address 192.168.xxx.xxx
!
ip dhcp pool 192.168.xxx.xxx/xx
   network 192.168.xxx.xxx 255.255.255.0
   default-router 192.168.xxx.xxx 
   dns-server 208.67.222.222 208.67.220.220 
!
!
ip name-server 208.67.222.222
ip name-server 208.67.220.220
no ip ips deny-action ips-interface
ip ddns update method dyndns
 HTTP
  add http://xxx:[email protected]/nic/update?system=dyndns&hostname=<h>&myip=<a>
 interval maximum 28 0 0 0
!
!
!
!
no ftp-server write-enable
!
!
!
!
!
!
!
!
!
!
!
!
!
!         
username xxx privilege 15 password 7 060B0E334F41
!
! 
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
no crypto isakmp ccm
!
crypto isakmp client configuration group xxx
 key xxx
 dns 208.67.222.222
 pool vpnpool
 acl 102
!
!
crypto ipsec transform-set vpnset esp-3des esp-md5-hmac 
!
crypto dynamic-map dynmap 1
 set transform-set vpnset 
 reverse-route
!         
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 1 ipsec-isakmp dynamic dynmap 
!
!
!
!
interface FastEthernet0/0
 ip address 192.168.xxx.xxx 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
 duplex auto
 speed auto
!
interface Serial0/0
 no ip address
 shutdown
 no dce-terminal-timing-enable
!
interface ATM0/1
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no atm ilmi-keepalive
 dsl operating-mode auto 
 pvc 8/35 
  pppoe-client dial-pool-number 1
 !
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Dialer0
 mtu 1452
 ip ddns update hostname xxx.xxx.xxx
 ip ddns update dyndns host xxx.xxx.xxx
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 ppp chap hostname xxx.xxx
 ppp chap password 7 00171F071753
 ppp pap sent-username xxx.xxx password 7 044807071C29
 crypto map clientmap
!
ip local pool vpnpool 10.xxx.xxx.xxx 10.xxx.xxx.xxx
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
no ip http server
no ip http secure-server
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 192.168.xxx.xxx xxx interface Dialer0 xxx
ip nat inside source static tcp 192.168.xxx.xxx xxx interface Dialer0 xxx
ip nat inside source static tcp 192.168.xxx.xxx xxx interface Dialer0 xxx
ip nat inside source static tcp 192.168.xxx.xxx xxx interface Dialer0 xxx
ip nat inside source static tcp 192.168.xxx.xxx xxx interface Dialer0 xxx
!
access-list 101 deny   ip 192.168.xxx.xxx 0.0.0.255 10.xxx.xxx.xxx 0.0.0.255
access-list 101 permit ip any any
access-list 102 permit ip 192.168.xxx.xxx 0.0.0.255 10.xxx.xxx.xxx 0.0.0.255
!
!
!
control-plane
!
!
!
voice-port 1/0/0
!
voice-port 1/0/1
!
voice-port 1/1/0
!
voice-port 1/1/1
!
!
!
!
!
!
!
!         
line con 0
 password 7 0822455D0A16
 logging synchronous
line aux 0
line vty 0 4
 password 7 060506324F41
 transport input telnet ssh
!
!
end

VS#

Vi prego datemi una mano che sto impazzendo

Grazie mille

[guzza1977]

Probabilmente dovete inserire il seguento comando in configurazione "crypto isakmp client configuration group xxx":

!
conf t
crypto isakmp client configuration group xxx
include-local-lan
!

Fammi sapere se risolvi.

Ciao.