6
NAT Cisco Router
NAT nochmal NATten?
Kurze Frage:
Kann man NAT nochmal NATten?
Problematik:
Habe nen IPSec-Tunnel zu nem Gateway, NATte dort auf 10.0.0.0, benutze Split-Tunneling und will nun via PAT auf ein bestimmtes Interface raus ins Internet. Ich habe schon eine PAT-Liste, die auch grandios funktioniert.
Ich habe es probiert, indem ich meine NAT-access-list spontan um den 10er-Adressbreich erweitert habe, aber funktioniert hat es nicht.
Kann ich davon ausgehen, dass das nicht gewünscht ist?
Gibts nen Workaround?
Salute und Dank!
Kann man NAT nochmal NATten?
Problematik:
Habe nen IPSec-Tunnel zu nem Gateway, NATte dort auf 10.0.0.0, benutze Split-Tunneling und will nun via PAT auf ein bestimmtes Interface raus ins Internet. Ich habe schon eine PAT-Liste, die auch grandios funktioniert.
Ich habe es probiert, indem ich meine NAT-access-list spontan um den 10er-Adressbreich erweitert habe, aber funktioniert hat es nicht.
Kann ich davon ausgehen, dass das nicht gewünscht ist?
Gibts nen Workaround?
Salute und Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 111252
Url: https://administrator.de/contentid/111252
Printed on: April 24, 2024 at 06:04 o'clock
6 Comments
Latest comment
Kann man NAT nochmal NATten?
Ja.
Den Rest hab ich nicht verstanden.
Hm..
Ein Kunde wählt sich über VPN in das Gateway (z.B.) 172.21.1.1 ein, wird auf einer 10-er Netz geNATet. SplitTunneling ist konfiguriert und somit kann er einerseits ins LAN (192.168.x.x) und ins Internet. Die Kollegen im LAN (192.168.x.x) benutzen 172.21.1.1 als Gateway, dort findet PAT statt, d.h. sie tauchen im Internet mit Source 172.21.1.1 auf. Genau das möchte ich für meine VPN-Kunden auch. Dass heisst ich muss sie von ihrem 10.-er Netz auch aufs 172.21.1.1 PATen.
Das scheint ja möglich zu sein.
Ich habe es versucht über:
ip nat inside source route-map POLICY-NAT interface FastEthernet0/0 overload
ip access-list extended NAT
permit ip 192.168.0.0 0.0.255.255 any
permit ip 10.0.0.0 0.0.0.255 any
deny ip any any
route-map POLICY-NAT permit 10
match ip address NAT
interface FastEthernet0/0
ip address 172.21.1.1 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
Klappt wunderbar für die LAN-Menschen (192.168.x.x), nur nicht für VPN...fehlt da noch irgendein Spezialbefehl?
Ein Kunde wählt sich über VPN in das Gateway (z.B.) 172.21.1.1 ein, wird auf einer 10-er Netz geNATet. SplitTunneling ist konfiguriert und somit kann er einerseits ins LAN (192.168.x.x) und ins Internet. Die Kollegen im LAN (192.168.x.x) benutzen 172.21.1.1 als Gateway, dort findet PAT statt, d.h. sie tauchen im Internet mit Source 172.21.1.1 auf. Genau das möchte ich für meine VPN-Kunden auch. Dass heisst ich muss sie von ihrem 10.-er Netz auch aufs 172.21.1.1 PATen.
Das scheint ja möglich zu sein.
Ich habe es versucht über:
ip nat inside source route-map POLICY-NAT interface FastEthernet0/0 overload
ip access-list extended NAT
permit ip 192.168.0.0 0.0.255.255 any
permit ip 10.0.0.0 0.0.0.255 any
deny ip any any
route-map POLICY-NAT permit 10
match ip address NAT
interface FastEthernet0/0
ip address 172.21.1.1 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
Klappt wunderbar für die LAN-Menschen (192.168.x.x), nur nicht für VPN...fehlt da noch irgendein Spezialbefehl?
Hi,
es ist eher eine Verständisfrage...es gibt dazu kein Spezialbefehl.
Die ACL die für den Internetzugang zuständig ist, musst du den VPN IP-Bereich komplett verbieten:
Danch legst du eine neue ACL an, in der du den VPN-IP-Bereich freigibst:
Nun musst du definieren, dass eine RM greift:
Dein Ansatz war fast richtig...falls das so nicht gehen sollte, müsstest du es über ein LoopbackX-Interface versuchen.
Grüße,
Dani
es ist eher eine Verständisfrage...es gibt dazu kein Spezialbefehl.
Die ACL die für den Internetzugang zuständig ist, musst du den VPN IP-Bereich komplett verbieten:
access-list xxx deny any xxx.xxx.xxx.xxx yyy.yyy.yyy.yyyDanch legst du eine neue ACL an, in der du den VPN-IP-Bereich freigibst:
access-list xxx deny xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy anyroute-map VPN-Client permit 10
match ip address 107
set interface LAN-INTERFACE mit 172.21.1.xGrüße,
Dani
Also, ich habe das jetzt mit der route-map versucht und die access-list für den VPN-bereich auf deny und einmal auf permit gehabt (einfach für den Kopf :D)...ohne Erfolg.
Den scheint auch die route-map nicht wirklich zu jucken... ich habe da sicher was übersehen, ganz bestimmt. Aber danke schonmal für die Hilfe
Achso, die Statistik wurde kurz vorher ge-clear-t, deswegen so übersichtliche Hits ;)
P.S.: Habe die route-map jetzt mit ins NAT gezogen - hilft nüscht...oder liegt das irgendwie lokal an dem PC/Client, der sich einwählt?
Den scheint auch die route-map nicht wirklich zu jucken... ich habe da sicher was übersehen, ganz bestimmt. Aber danke schonmal für die Hilfe
sh ip nat stat
Total active translations: 2 (0 static, 2 dynamic; 2 extended)
Peak translations: 1533, occurred 3w3d ago
Outside interfaces:
FastEthernet0/0
Inside interfaces:
FastEthernet0/1.1, Virtual-Template1, Virtual-Template2
Hits: 1 Misses: 0
CEF Translated packets: 1, CEF Punted packets: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 6] route-map POLICY-NAT interface FastEthernet0/0 refcount 2
Appl doors: 0
Normal doors: 0
Queued Packets: 0Achso, die Statistik wurde kurz vorher ge-clear-t, deswegen so übersichtliche Hits ;)
P.S.: Habe die route-map jetzt mit ins NAT gezogen - hilft nüscht...oder liegt das irgendwie lokal an dem PC/Client, der sich einwählt?
Hi,
ich würde lieber mal die Configuration von deinem Router im Moment sehen. Das hilft mir eher weiter, wie die Statistiken...
Grüße,
Dani
ich würde lieber mal die Configuration von deinem Router im Moment sehen. Das hilft mir eher weiter, wie die Statistiken...
Grüße,
Dani
Gerrrne
FE outside, Virtual-Template inside
Gib Bescheid, wenn du sonst noch was brauchst...
ip nat inside source route-map POLICY-NAT interface FastEthernet0/0 overload
ip nat inside source route-map VPN interface FastEthernet0/0 overload
!
ip access-list extended NAT
permit ip 192.168.0.0.0 0.0.255.255 any
deny ip any any
ip access-list extended VPN
permit ip 10.0.0.0 0.0.0.255 any
deny ip any any
route-map VPN-Client permit 10
match ip address VPN
set interface FastEthernet0/0
!
route-map POLICY-NAT permit 10
match ip address NATFE outside, Virtual-Template inside
Gib Bescheid, wenn du sonst noch was brauchst...
