NAT Cisco Router
NAT nochmal NATten?
Kurze Frage:
Kann man NAT nochmal NATten?
Problematik:
Habe nen IPSec-Tunnel zu nem Gateway, NATte dort auf 10.0.0.0, benutze Split-Tunneling und will nun via PAT auf ein bestimmtes Interface raus ins Internet. Ich habe schon eine PAT-Liste, die auch grandios funktioniert.
Ich habe es probiert, indem ich meine NAT-access-list spontan um den 10er-Adressbreich erweitert habe, aber funktioniert hat es nicht.
Kann ich davon ausgehen, dass das nicht gewünscht ist?
Gibts nen Workaround?
Salute und Dank!
Kann man NAT nochmal NATten?
Problematik:
Habe nen IPSec-Tunnel zu nem Gateway, NATte dort auf 10.0.0.0, benutze Split-Tunneling und will nun via PAT auf ein bestimmtes Interface raus ins Internet. Ich habe schon eine PAT-Liste, die auch grandios funktioniert.
Ich habe es probiert, indem ich meine NAT-access-list spontan um den 10er-Adressbreich erweitert habe, aber funktioniert hat es nicht.
Kann ich davon ausgehen, dass das nicht gewünscht ist?
Gibts nen Workaround?
Salute und Dank!
Please also mark the comments that contributed to the solution of the article
Content-Key: 111252
Url: https://administrator.de/contentid/111252
Printed on: April 24, 2024 at 06:04 o'clock
6 Comments
Latest comment
Hi,
es ist eher eine Verständisfrage...es gibt dazu kein Spezialbefehl.
Die ACL die für den Internetzugang zuständig ist, musst du den VPN IP-Bereich komplett verbieten:
Danch legst du eine neue ACL an, in der du den VPN-IP-Bereich freigibst:
Nun musst du definieren, dass eine RM greift:
Dein Ansatz war fast richtig...falls das so nicht gehen sollte, müsstest du es über ein LoopbackX-Interface versuchen.
Grüße,
Dani
es ist eher eine Verständisfrage...es gibt dazu kein Spezialbefehl.
Die ACL die für den Internetzugang zuständig ist, musst du den VPN IP-Bereich komplett verbieten:
access-list xxx deny any xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
Danch legst du eine neue ACL an, in der du den VPN-IP-Bereich freigibst:
access-list xxx deny xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy any
route-map VPN-Client permit 10
match ip address 107
set interface LAN-INTERFACE mit 172.21.1.x
Grüße,
Dani